Новости Software

Фитнес-приложение Polar Flow раскрыло местоположение военных и правительственных объектов

Из-за популярного фитнес-приложения Polar Flow было раскрыто местоположение некоторых засекреченных учреждений. Сайты De Correspondent и Bellingcat провели расследование и выяснили, что с помощью информации о тренировках, хранящейся в сервисе, можно узнать данные сотрудников военных баз и правительственных объектов.

Для этого пришлось использовать API для разработчиков. Через него потенциальный злоумышленник мог просматривать данные пользователей, причём даже те, которые скрыты настройками конфиденциальности. API не имел ограничений на число запросов, поэтому любой человек мог собрать информацию о миллионах пользователей Polar Flow.

zdnet.com

zdnet.com

Так стало возможно раскрыть данные о перемещении людей, которые работают в засекреченных местах — например, на военных базах. Для этого достаточно было найти известный объект, затем тренировку, которая на нём проводилась, и просмотреть другие тренировки выбранного пользователя.

Исследователям удалось найти более 6,4 тысяч пользователей, которые, скорее всего, работают в засекреченных учреждениях. Это сотрудники американских АНБ и Белого дома, британской секретной службы MI6, российского ГРУ и так далее. Также было раскрыто местоположение персонала ядерных хранилищ, ракетных шахт и тюрем.

zdnet.com

zdnet.com

Polar заявила, что уже разбирается с проблемой, но считает, что она не такая уж и серьёзная. «Важно понимать, что никакой утечки данных, в том числе личных, не было, — сказала компания. — На данный момент у подавляющего большинства пользователей Polar выставлены приватные настройки конфиденциальности, поэтому на них проблема никак не распространяется. Делиться ли данными о тренировках и местоположении — выбор каждого пользователя, но мы осведомлены, что информация о потенциально секретных местах оказалась публичной, поэтому решили временно закрыть Explore API».

Это уже не первый случай, когда фитнес-приложение раскрывает местоположение военных и правительственных объектов. В начале года похожую уязвимость нашли в сервисе Strava.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
комментарии загружаются...