Titkos ügynökök, katonatisztek és nagykövetek lakóhelyét is felfedte egy fitneszapp, a Polar Flow

A Polar Flow nevű alkalmazás Explore nevű funkciója a felhasználók pulzusa mellett az egyes aktivitások útvonalát, dátumát és időtartamát is egyetlen térképen mutatja, így gyakorlatilag a regisztráltak minden helyinformációja kényelmesen elérhető. Ez azt jelenti, hogy ha valaki meg akarja tudni, hol lakik egy Polar-felhasználó, csak kiválaszt a térképen egy munkahelyi aktivitást, és megnézi, hova vezetett az útja később.

A jelenséget felfedő Bellingcat szerint a Polar felhasználói gyakran a teljes nevüket használják az oldalon, profilképpel együtt, ráadásul a Facebookkal is össze lehet kapcsolni a fiókot. Az oknyomozó lap például egy nukleáris fegyverekkel rendelkező légibázis egy magas beosztású tisztjének útját követte, ahogy a munkahelyétől nem messze fut hétvégenként, hol egy erdőn át, hol egy parkoló környékén – ez valószínűleg az otthona. A titkos területen dolgozó tiszt teljes neve és az arcképe is látható az alkalmazásban.

FBI, NSA, hadsereg – az adatvédelem sehol sem számít 

Az app 2014-től kezdve tárolja az egyes felhasználók összes helyinformációját (ahol be volt kapcsolva ez a funkció), így egy gyors Facebook-ellenőrzés után a Közel-Keleten állomásozó egyik katonatisztet is sikerült azonosítani, a feltűnően sok nyugat-amerikai aktivitásával együtt.

Forrás: Bellingcat / Polar Flow

A lap gyűjtése szerint többek közt a következő személyekről sikerült kideríteni egy egyszerű kereséssel (összesen 6500 felhasználót listáztak), hogy hol laknak:

  • nukleáris fegyverekkel rendelkező bázisokon dolgozó tisztek,
  • titkos ügynökségeken és nagykövetségeken dolgozó emberek,
  • a Szövetségi Nyomozó Iroda (FBI) és a Nemzetbiztonsági Ügynökség (NSA) alkalmazottjai,
  • kiberbiztonsági, informatikai, rakétavédelmi és egyéb érzékeny területen dolgozó személyek,
  • a bagdadi Zöld Zónában állomásozó amerikai katonák,
  • a Krím-félszigeten tartózkodó orosz katonák,
  • az észak-koreai határ közelében lévő katonai csapatok,
  • az iszlám állam elleni csatákban részt vevő pilóták.

Az alkalmazás adatvédelmi beállításai azt is lehetővé teszik, hogy a nyilvánosról privátra állított profilon is lehessen látni a felhasználó nevét, arcképét és a regisztrációkor megadott tartózkodási helyét, de alapból a profilok követése is engedélykérés nélkül történik. Ezen felül kizárólag az új aktivitásokat lehet priváttá tenni, a korábbiak továbbra is láthatóak maradnak – azokat ráadásul csak egyenként lehet törölni, ami több száz elmentett aktivitás esetében minimum időigényes.

Nem ez az első, és valószínűleg nem ez az utolsó

A New York-i bázisú, finn eredetű Polar hivatalosan nem közli a felhasználóik számát, de a holland De Correspondent több mint 30 millió egyedi azonosítót talált az alkalmazás API-jában, vagyis alkalmazásprogramozási felületében.

Forrás: Bellingcat / Polar Flow

„Jelenleg a Polar felhasználóinak túlnyomó többsége az alapvető biztonsági beállításokat használja, így semmilyen módon sem érintettek az ügyben. Bár a tevékenységek adatai és a GPS-helyadatok megosztása a felhasználók döntése, tudatában vagyunk annak, hogy lehetséges érzékeny helyszínek jelennek meg nyilvánosan, ezért úgy döntöttünk, hogy ideiglenesen felfüggesztjük az Explore API-t” – írta a cég egy közleményben.

Januárban már volt egy hasonló botrány, akkor a Strava nevű fitneszapp készített globális hőtérképet a felhasználóik aktivitása alapján, amely nemcsak olyan titkos helyeket rajzolt ki, mint a hírhedt nevadai 51-es körzet, de az Egyesült Államok hadseregének közel-keleti bázisait is egyértelműen felfedte. A cég márciusban azzal védekezett, hogy senki adatait nem teszi közzé a felhasználók tudta nélkül, de a privátként megjelölt adatokat a jövőben eltávolítja a térképről.