אפליקציית שעוני Polar חושפת מיקומי כוחות צבא ברחבי העולם
האפליקציה הציגה בצורה פתוחה ונגישה מידע מיקום מאז 2014, מה שאיפשר לנטר שגרה צבאית בקלות; בין היתר, נחשפה כך פעילות קצין בכיר בבסיס נשק גרעיני, ותנועת לוחם אמריקאי שעבר בין בסיסים במדינות שונות
כשל אבטחה באפליקציית הכושר הפופולרית Polar Flow הביאה לחשיפת מיקומם של אנשים צבא ומודיעין בכל העולם - כך לפי תחקירים שפרסמו במקביל אתר החדשות ההולנדי De Correspondent ואתר החדשות העצמאי Bellingcat.
קראו עוד בכלכליסט:
- דיווח: גוגל תחשוף באוקטובר שעון חכם משלה
- אינטל מבטלת אפליקציה שנועדה ללמוד את הרגלי המשתמשים
- שוק המחשוב הלביש עדיין מקרטע, למרות הצלחת האפל ווטש
לפי הדיווחים, האפליקציה אפשרה לכל גולש לראות את מפת הפעילות של גולשים אחרים לתקופה של כמה שנים. כשל זה איפשר, למשל, להשתמש במידע מיקום כדי לאתר את השמות ואת הכתובות של אלפי משתמשים שעבדו בצבא או בשירותי מודיעין.
אפלקציית הכושר של פולאר מציגה מסלול של קצין אמריקאי צילום: ZDNET
Polar Flow מפותחת על ידי יצרנית שעוני הכושר הפינית Polar, ומהווה מוצר משלים למוצרי החומרה של החברה: את המידע שאוספים המוצרים השונים ניתן להעלות לפרופיל משתמש בפלטפורמה המקוונת ואף לשתף בצורה פומבית אותו באמצעות מפה דינמית. המפה מציגה משתנים כמו קצב לב, מסלול הריצה או הרכיבה, תאריך וזמן באופן שמאפשר לאתר את כתובתם הפרטית של המשתמשים.
לפי הדיווחים, מדובר בהליך פשוט במיוחד: ראשית, יש לאתר על המפה בסיס צבאי, לבחור פעילות כושר שבוצעה שם כדי לזהות את הפרופיל שקשור אליה (שפעמים רבות כולל שם מלא ותמונה), ואז לצפות במיקומים נוספים שבהם ביצע בעל הפרופיל פעילות כושר. מכיוון שמשתמשים נוטים לכבות צמידי כושר כשהם נכנסים לביתם ולהפעיל אותם ביציאה ממנו, ניתן לאתר את כתובתם הפרטית.
שעוני פולאר צילום: POLAR
במקרה אחד הצליחו האתרים לנטר את פעילותו של קצין בכיר בבסיס שבו מאוחסנים כלי נשק גרעיניים, ולזהות בין השאר את מסלול ריצת הבוקר שלו. במקרים אחרים אותר מיקומו של איש צבא שמוצב באפגניסטן, לנטר את פעילותו לאורך כמה מדינות, כשהוא עובר בין בסיסים צבאיים במזרח התיכון, ביתו במדינת ניו יורק ומלון בתאילנד. המפה הדינמית של Polar הכילה מידע על פעילות משתמשים מאז 2014, ואפשרה לאתר 6,460 משתמשים שעשו שימוש בשירות בקרבת מתקנים רגישים.
בתגובה שפרסמה לא הכחישה Polar את הדיווחים, וטענה שהמידע של משתמשים שהגדירו את הפרופיל שלהם כפרטי, ושמהווים רוב, לא נחשף. עם זאת, החברה השהתה את פעילות המפה הדינמית שלה.
לא מדובר בפעם הראשונה שבה אפליקציית כושר חושפת מידע ביטחוני רגיש. בתחילת השנה פורסם ש-Strava חשפה בטעות מיקומי בסיסים של צה"ל ואפילו פעילות ביטחון שוטף כמו מסלולי פטרול של חיילים. בין האזורים הרגישים שנחשפו באמצעות השירות נמנה בסיס צבאי באזור דימונה, מסלולי פטרול בקרבת בסיסים של חיל האוויר ופטרולים של צה"ל בגבול הצפון.