Своїми досягненнями в додатку Strava ділилися охоронці глав держав. І мимоволі показали всі маршрути і навіть таємні адреси.
Популярний фітнес-додаток Strava розкриває конфіденційні переміщення Путіна, Байдена, Трампа, Гарріс та інших лідерів. Суворо конфіденційні переміщення глав держав і світових лідерів легко відстежувати в Інтернеті за допомогою фітнес-додатку, який використовують їхні охоронці. Про це повідомляє французька газета Le Monde.
Журналісти Le Monde виявили, що деякі агенти Секретної служби США використовують фітнес-додаток Strava. Strava — це застосунок для контролю тренувань, який здебільшого використовують бігуни та велосипедисти, щоб записувати свою активність і ділитися своїми тренуваннями зі спільнотою. Ним користуються близько 125 мільйонів людей по всьому світу.
Як додаток Strava допоміг відстежити охоронців і військових
Усе почалося на початку 2018 року з "карти активності" додатка. Соціальна мережа, яка презентувала її кількома тижнями раніше, показує на ній усі агреговані поїздки своїх користувачів: що товстіша і яскравіша лінія, то більша кількість спортсменів пройшла цей маршрут. У всіх великих містах парки і береги річок яскраво світяться. І навпаки, райони, де мало користувачів Strava, залишаються темними. Але тоді були виявлені стежки, що світяться, в сирійській пустелі, де перебували військові, які і не думали приховувати свою спортивну активність і замість цього публікували її публічно. Об'єднуючи анонімні дані, Strava розкриває наявність військових баз по всьому світу або, що частіше, їхнє розташування і маршрути, пройдені військовослужбовцями на них або навколо них. У Сполучених Штатах Пентагон стверджує, що ставиться до цього питання дуже серйозно. У Франції Міністерство збройних сил також закручує гайки. Що стосується Strava, воно перекладає відповідальність на своїх користувачів, вказуючи, що були об'єднані тільки публічні дії, але обіцяє спростити налаштування конфіденційності.
Незабаром після цього розслідування французького сатиричного тижневика Le Canard enchaîné і щоденної газети Le Télégramme виявили ще більшу лазівку: можна ідентифікувати на ім'я співробітників розвідувальних служб або французьких солдатів, не проходячи анонімною картою, а вивчаючи дії, розміщені на Strava. Деякі з них є співробітниками французького агентства зовнішньої розвідки (DGSE), служби внутрішньої розвідки (DGSI) або військовослужбовцями, розміщеними на базі Іль-Лонг у Бретані, де розташовані французькі атомні підводні човни. З їхніх профілів легко дізнатися їхню домашню адресу, звички і навіть, якщо вони беруть їх із собою на спортивні заходи, імена їхніх близьких.
Хто фіксував свої успіхи у Strava
Le Monde виявила користувачів Strava серед співробітників служби безпеки Дональда Трампа, Джо Байдена і Камали Гарріс, а також президента Франції Емманюеля Макрона і президента Росії Володимира Путіна. В одному із прикладів Le Monde відстежила переміщення охоронців Макрона за допомогою Strava, щоб визначити, що французький лідер провів вихідні на нормандському морському курорті Онфлер 2021 року. Поїздка мала бути приватною і не була вказана в офіційному порядку денному президента.
Le Monde повідомила, що місцезнаходження Меланії Трамп і Джилл Байден також можна визначити, відстежуючи профілі їхніх охоронців у Strava.
У заяві для Le Monde Секретна служба США заявила, що її співробітникам не дозволяється використовувати особисті електронні пристрої під час виконання службових обов'язків під час виконання завдань із забезпечення безпеки, але "ми не забороняємо співробітникам використовувати соціальні мережі в особистих цілях поза службою". Там стримано зазначили, що повідомили персонал і розглянуть цю інформацію, щоб "визначити, чи потрібне додаткове навчання або керівництво".
"Ми не вважаємо, що були будь-які погрози для будь-кого із захищених осіб", — додали в Секретній Службі і зазначили, що місця перебування і так "регулярно розкривають у межах публічних розкладів релізів".
В іншому прикладі газета Le Monde повідомила, що профіль агента Секретної служби США на Strava розкрив місце розташування готелю, у якому Байден зупинявся в Сан-Франциско для важливих перемовин із головою КНР Сі Цзіньпіном у 2023 році. За кілька годин до прибуття Байдена агент вирушив на пробіжку з готелю, використовуючи Strava, яка відстежила його маршрут.
Журналісти кажуть, що вони ідентифікували 26 агентів США, 12 членів французької GSPR (групи безпеки президента) і шістьох членів російської ФСО (Федеральної служби охорони), усі вони відповідали за безпеку своїх підопічних і мали публічні акаунти на Strava, а отже, повідомляли про свої пересування в мережі, зокрема під час ділових поїздок. Le Monde не назвала імена охоронців з міркувань безпеки.
У повідомленні йдеться про те, що переміщення, які відстежують через Strava, можуть призвести до порушень безпеки, особливо коли співробітники служби безпеки заздалегідь виїжджають у такі місця, як готелі, де потім зупиняються їхні керівники і проводять зустрічі.
Реакція глав держав
У понеділок офіс Макрона заявив, що наслідки проблем, про які повідомила Le Monde, "дуже незначні і жодним чином не впливають на безпеку президента Республіки".
Місцева влада заздалегідь поінформована про пересування Макрона, а місця його перебування завжди повністю безпечні, "тож ризик відсутній", ідеться в заяві.
"Проте начальник штабу розіслав агентам нагадування з проханням не використовувати цей додаток", — додали в офісі Макрона.
В офісі Камали Гарріс не дали коментарів, а в офісі Дональда Трампа представник Національного комітету Республіканської партії повторив деякі зі своїх критичних зауважень на адресу адміністрації Байдена.
За словами Ібрагіма Баггілі, фахівця з інформатики та професора кібербезпеки в Університеті штату Луїзіана, ризики безпеки, пов'язані з фітнес-додатками, вказують на необхідність більш суворого регулювання того, як технологічні компанії можуть використовувати дані споживачів.
Дослідження Баггілі показало, як зловмисники можуть використовувати дані фітнес-додатків для відстеження потенційних жертв, створюючи ризики переслідування, пограбувань та інших злочинів.
За словами Баггілі, споживачі часто надають розробникам додатків право використовувати або продавати свої дані, коли погоджуються з умовами обслуговування.
"Компанії люблять наші дані, а ми любимо продукт, тому ми роздаємо дані безкоштовно. Уряду дійсно потрібно почати посилювати заходи щодо використання даних і термінів їх зберігання", — заявив експерт.
У звіті підкреслюється, що ідентифікація охоронців президента (деякі з них використовують у Strava свої повні імена) також може допомогти в пошуку інших подробиць про їхні особисті адреси, сім'ї, переміщення і фотографії, які вони розміщували в різних соціальних мережах. Усе це може бути використано для чинення на них тиску в зловмисних цілях.
Останніми роками журналісти і цікаві спостерігачі виявили, що особи, яким доручено секретні операції, особливо солдати, ділилися своєю фізичною активністю на Strava, наражаючи на небезпеку свою місію, свою особистість і навіть свою безпеку.
Нагадаємо, раніше Фокус писав про те, яка вразливість ОС Android дає змогу захопити контроль над додатками за допомогою шкідливого ПЗ Dirty Stream.