Фитнесс-приложение Strava использовалось для слежки за военными на секретных базах ЦАХАЛа

Фитнесс-приложение Strava использовалось для того, чтобы отслеживать передвижение израильских военных на секретных базах, по стране, а также, возможно, во время их зарубежных командировок. Издание The Guardian, написавшее об этой уязвимости приложения, отмечает, что установить, кто ведет наблюдение за израильскими военными, не удалось.

В публикации говорится, что наблюдение велось с помощью функции "сегменты", позволяющей спортсменам-энтузиастам создавать публичные записи о рекордах, которые становятся доступны другим пользователям для соревнования. Размещавшие "сегменты" на военных базах ЦАХАЛа, получили информацию о пользователях Strava, находящихся там. Эта информация оказывалась доступна для третьего лица даже в том случае, если пользователь выбрал самые строгие настройки конфиденциальности.

The Guardian пишет, что в одном из случаев доступными оказались данные пользователя Strava на сверхсекретной базе ЦАХАЛа, который, по всей видимости, связан с израильской ядерной программой.

"Сегменты" на секретных объектах в Израиле были созданы анонимным пользователем, указавшем, что он находится в Бостоне.

Издание пишет, что уязвимость была обнаружена израильской наблюдательной группой FakeReporter. Исполнительный директор группы Ахия Шац рассказал The Guardian, что информация об уязвимости была передана израильским службам безопасности, как только о ней стало известно. После того, как было получено разрешение от служб безопасности, группа связалась с разработчиками Strava, которая немедленно сформировала рабочую группу для устранения проблемы.

Отметим, что четыре года назад в приложении была обнаружен аналогичная уязвимость, связанная с сегментами. После того, как Strava опубликовала тепловую карту, демонстрирующую изменением цвета активность ее пользователей по всему миру на основе предоставленных ими GPS-данных, один аналитик обратил внимание на то, что карта легко позволяет обнаружить местоположение секретных военных баз и маршруты передвижения их персонала. Компания Strava тогда сообщила, что часть функций была пересмотрена с тем, чтобы "они не могли быть скомпрометированы людьми с плохими намерениями".