Neidentificirani operativci koriste fitness aplikaciju za praćenje tjelesne aktivnosti Strava, koja ima i karakteristike društvenih mreža, kako bi špijunirali pripadnike izraelske vojske, prateći njihovo kretanje po tajnim bazama diljem zemlje s potencijalom da ih se prati i promatra i kada su na službenom putu diljem svijeta, prenosi The Guardian.
Postavljanjem lažnih trkaćih "segmenata" unutar vojnih baza, ova operacija - za koju je nepoznato tko je provodi - omogućila je praćenje pojedinaca koji su vježbali u bazama, čak i one koji su koristili najjače moguće postavke privatnosti profila.
U jednom takvom primjeru, u koji je uvid imao Guardian, jedan korisnik koji radi u bazi sa strogim stupnjem tajnosti, za koju se smatra da je povezana s izraelskim nuklearnim programom, bio je praćen u drugim vojnim bazama i u stranoj zemlji.
Visoki dužnosnik obrane identificiran kao "N" bio je jedan od najmanje 100 izraelskih pojedinaca pogođenih ranjivosti, navodi FakeReporter. On je objavio snimke zaslona na kojima se prati trčanje iz njihove kuće i unutar više zračnih snaga u Izraelu, kao i praćenje vožnje u Ukrajini, prenosi, pak, BBC.
Ovu kampanju nadzora otkrio je upravo FakeReporter, izraelska obavještajna organizacija otvorenog koda (informacije dostupne za uvid javnosti), koja se bori protiv zlonamjerne internetske aktivnosti. "Kontaktirali smo izraelske sigurnosne snage čim smo postali svjesni ovog ugrožavanja sigurnosti. Nakon što je od sigurnosnih snaga dobio odobrenje za nastavak, FakeReporter je kontaktirao Stravu i oni su formirali viši tim za rješavanje problema", rekao je izvršni direktor FakeReportera Achiya Schatz.
Vidljive informacije o 100 osoba
Bile su vidljive informacije o 100 osoba koje su vježbale u šest baza, a izraelski dužnosnici do sada nisu komentirali izvještaj, prenosi BBC.
Stravu, koja ima sjedište u San Franciscu, koristi više od 95 milijuna ljudi u 195 zemalja. Stravini alati za praćenje osmišljeni su da svaki korisnik može definirati 'segmente', odnosno kratke rute trčanja ili vožnje biciklom kako bi se natjecali s drugima na istoj ruti.
Korisnici, naime, mogu definirati segment nakon što ga učitaju iz aplikacije Strava, ali također mogu učitati i GPS snimke s drugih proizvoda ili usluga. Aplikacija preuzima podatke, uključujući GPS koordinate, s mobilnog telefona ili prenosivog uređaja za fitness kako bi pratila njihovu aktivnost. Korisnici mogu učitati svoje rezultate trčanja ili vožnje biciklom te usporediti svoje rezultate s ostalima, koji su se kretali istim rutama.
FakeReporter je izvijestio da je sumnjivi korisnik pod imenom "Ez Shehl" iskoristio ove funkcije za učitavanje lažnih GPS podataka kako bi stvorio segmente ruta unutar tajnih objekata povezanih s izraelskom vojskom, obavještajnom agencijom Mossad i Shin Bet službom unutarnje sigurnosti.
No, Strava ne može pratiti jesu li ta GPS učitavanja točna. Segmenti otkriveni ovom prilikom su sadržavali neprirodno ravne GPS linije, nisu pokazivali vrijeme, ali su prikazivali nerealno kretanje, kao što je prelazak 500 metara za 0 sekundi.
Lažna učitavanja
Vrijeme i osobni podaci - uključujući fotografije, kućne adrese i identitete članova obitelji - drugih korisnika koji su prolazili iste segmente, naknadno su otkriveni na Stravinoj tablici rezultata, čak i ako su im profili bili postavljeni na "privatno".
Neka od tih lažnih učitavanja možda su korištena u svrhu varanja na prijateljskim natjecanjima ili postavljanja segmenta za usmjeravanje drugih, no čini se da se barem jedan dio njih koristi za zlonamjerne svrhe.
"Korištenjem mogućnosti za učitavanje projektiranih datoteka, otkrivanjem pojedinosti o korisnicima bilo gdje u svijetu, neprijateljski su elementi učinili jedan alarmantan korak prema iskorištavanju popularne aplikacije kako bi naštetili sigurnosti građana i država", rekao je Schatz.
Pristupom lažnom segmentu također se zaobilaze neke od Stravinih postavki privatnosti. Korisnici mogu postaviti svoje profile tako da budu vidljivi samo pratiteljima, što inače sprječava druge znatiželjnike da prate njihovo kretanje kroz vrijeme. No, osim ako postavke ne postave na način da svako pojedinačno trčanje bude aktivno osigurano, njihova će se profilna slika, ime i inicijali pojaviti na segmentima kroz koje su trčali, sve u duhu prijateljskog natjecanja. Unatoč nizu segmenata raštrkanih po karti, pojedinci se još uvijek mogu prepoznati - jedan korisnik je tako pratio utrkivanje drugih, kao i rute u vojnim ustanovama.
'Toplinska karta'
Kako prenosi BBC, u Stravi navode da su riješili problem."Mi vrlo ozbiljno shvaćamo pitanja privatnosti, a izraelska grupa FakeReporter nas je obavijestila o problemu segmenta u vezi s određenim korisničkim računom i poduzeli smo potrebne korake da popravimo ovu situaciju... Pružamo lako dostupne informacije o načinu na koji se informacije dijele na Stravi i svakom sportašu dajemo mogućnost odabira privatnosti. Za više informacija o svim našim kontrolama privatnosti posjetite naš centar za privatnost jer preporučujemo da svi sportaši odvoje vremena kako bi osigurali da njihov odabir u Stravi bude njihovo hotimično iskustvo", naveli su iz Strave.
Ovo otkriće podsjeća na skandal iz 2018. godine, kada je novom opcijom Strave uvedena vizualizacija svih aktivnosti na platformi za praćenje vježbanja diljem svijeta. Toplinska karta prikazivala je popularne rute za trčanje, biciklizam i plivanje, a u najavi iz Strave je istaknuto da bi se mogla koristiti za uočavanje lokacija poput rute "Ironman triatlona" na Havajima.
No, time su također izložene i rute koje su bile manje javne - lokacija i raspored više vojnih baza u provinciji Helmand u Afganistanu bili su jasno vidljivi, kao i popularno kupalište na otvorenom uz bazu RAF Mount Pleasant na Falklandskim otocima. Karta je čak zabilježila rutu usamljenog biciklista u famoznom Području 51 u Nevadi.
Stravin odgovor na prašinu koja se podignula bio je savjet vojnim korisnicima da ne koriste opciju vizualizacije, tvrdeći da su informacije javno objavili korisnici koji su ih učitali. Kao primjer ranjivosti po pitanju privatnosti, neki korisnici su praćeni alarmantno detaljno - jednu pripadnicu američkih zračnih snaga moglo se pratiti od Džibutija, gdje je trčala dionicu od 7 kilometara, pa sve do zračne baze u Njemačkoj, gdje je prebačena na službu 2016. godine.