Zaskakujące źródło wycieku: sieć fitnessowa „Strava”

Dla wielu z nas korzystanie z aplikacji sportowych to ważny element codziennych ćwiczeń. Ich głównym celem jest motywowanie do aktywności i wsparcie w prowadzeniu zdrowego trybu życia. Jednak ogromny problem pojawia się, gdy dochodzi do nadużycia i ujawniają tajne dane np. położenie baz wojskowych. 

Te z pozoru niewinne aplikacje, generują ogromne ilości danych: ile czasu ćwiczyłeś, ile kalorii spaliłeś, którędy jechałeś na rowerze albo gdzie biegałeś. Wszystkie te informacje można załadować na platformę internetową, za pośrednictwem której udokumentujemy i opublikujemy nasze osiągnięcia. Czy tylko „cywile” korzystają z takich aplikacji? Okazuje się, że nie. Zawodowi żołnierze także chcą dbać o kondycję i czuwać nad regularnością ćwiczeń, szczególnie gdy przebywają z dala od cywilizacji, gdzie jogging z aplikacją sportową stanowi jedną z nielicznych rozrywek.

Weryfikacja danych 

W listopadzie 2017 platforma „Strava” opublikowała mapę natężenia ruchu wygenerowaną na podstawie danych swoich użytkowników. Działanie to miało na celu pokazanie, jak często użytkownicy korzystają z aplikacji i gdzie biegają lub jeżdżą na rowerze. Na mapie wyraźnie zaznaczono ulice. Największą aktywność zgodnie z przewidywaniami odnotowuje się w najgęściej zaludnionych obszarach. Jednak przemieszczając się po obszarach, gdzie odnotowano mniejszą aktywność aplikacji oraz po mniej zaludnionych okolicach w niektórych problematycznych rejonach świata można zauważyć od czasu do czasu jaśniejsze punkty. Te jasne punkty z dala od cywilizacji stanowią problem: często są to bazy wojskowe, skąd użytkownicy aplikacji Strava generują dane.

Lokalizacja i ruch

Mapy są wyjątkowo dokładne. W niektórych przypadkach wyraźnie widać układ danej bazy i można nawet zauważyć poszczególne trasy, jakimi przemieszczają się użytkownicy. Według pewnego analityka dane te mają, łagodnie mówiąc, „niezbyt dobry wpływ na bezpieczeństwo operacyjne”. Siły zbrojne zazwyczaj nie zdradzają informacji związanych z liczbą żołnierzy, ich przemieszczaniem, lokalizacją oraz układem obiektów wojskowych. Dlatego też możliwość wyłapania mniej uczęszczanych terenów danego obiektu wojskowego stanowi nie lada problem, który spędza sen z powiek dowódcom.

Żądanie zezwolenia

Wiele aplikacji można oczywiście skonfigurować w taki sposób, by nie udostępniały konkretnych danych platformie w chmurze. Wymaga to jednak w pierwszej kolejności odpowiedniego skonfigurowania ustawień, którego w wielu przypadkach nie przeprowadzono. Skutkiem tego przeoczenia będzie prawdopodobnie zablokowanie możliwości korzystania z aplikacji sportowych w niektórych miejscach.

Prezentowane rozważania odnoszą się nie tylko do żołnierzy: udostępnianie informacji o przemieszczaniu się i miejscu, gdzie przebywa dany użytkownik, może także działać na niekorzyść firm oraz osób prywatnych. Gdy korzystamy z aplikacji sportowych lub innych spełniających podobną funkcję, należy dobrze przemyśleć, jakie dane chcemy udostępniać. Jest to szczególnie istotne, gdy dane są zapisywane i przetwarzane przez platformę na stronie internetowej. W tym przypadku potencjalnie poufne dane zostały upublicznione, mimo że nie przyświecały temu żadne niecne intencje.

Prywatność i wycieki danych

Gdy platforma zostanie zaatakowana przez przestępców, zagrożenie stanowi nie tylko możliwość śledzenia, jaką drogę pokonał dany użytkownik. Dyskusja na temat aplikacji sportowych oraz ich narażenia na ataki regularnie powraca. Przywoływano już różne interesujące kwestie związane z prywatnością danych: niektóre firmy ubezpieczeniowe oferują swoim klientom zniżki pod warunkiem, że będą oni udostępniać firmie ubezpieczeniowej dane ze swojej aplikacji sportowej.

– Trzeba realnie spojrzeć na aplikacje sportowe, smart watche i tym podobne urządzenia, a są to przecież źródła danych, których aktywności nie zawsze jesteśmy do końca pewni – tłumaczy Robert Dziemianko z firmy G DATA, lidera w zakresie bezpieczeństwa sieciowego. Urządzenia oraz inne aplikacje, z którymi się łączą nie przestają zbierać danych nawet, jeśli są w danym momencie wyłączone, głęboko schowane lub włożone do torby. Wszyscy korzystający z aplikacji powinni uważnie przyjrzeć się, z jakimi danymi ustanowiono połączenie, szczególnie jeśli chodzi o lokalizację. W zależności od systemu operacyjnego oraz konfiguracji niektórych usług istnieje możliwość śledzenia ruchu nawet sprzed kilku lat- dodaje ekspert z G DATA.

Co robić?

Aplikacje i urządzenia, które intensywnie pobierają informacje, stają się coraz większym problemem, ponieważ powstaje pole do nadużyć w wielu kwestiach związanych z danymi. Wiele aplikacji osiąga słabe wyniki w zakresie bezpieczeństwa. Należą do nich m.in.: aplikacje sportowe i monitorujące stan zdrowia oraz aplikacje bankowości internetowej. Nawet jeśli niektóre informacje wydają się mniej istotne, ich waga może wzrosnąć w zestawieniu z innymi danymi. Dla dostatecznie zmotywowanego przestępcy zebranie tego typu danych kontekstowych jest możliwe, a zaniedbanie tej kwestii jeszcze bardziej ułatwia im działanie.

Sprawdź ustawienia swojego urządzenia i aplikacji i odpowiedz na następujące pytania:

  1. Jakie Twoje dane są pozyskiwane?
  2. Czy są one niezbędne do działania urządzenia/aplikacji?
  3. Do czego wykorzystuję urządzenie?
  4. Czy na urządzeniu są przechowywane albo przetwarzane jakieś dane firmowe? W tym e-maile i dokumenty? W przypadku firm należy zawsze opracować jasne reguły korzystania z prywatnych urządzeń do celów biznesowych.
  5. Czy przy pomocy urządzenia łączę się z miejscami chronionymi lub o ograniczonym dostępie?

W większości obecnie wykorzystywanych systemów operacyjnych na urządzenia przenośne istnieje możliwość odmowy dostępu do konkretnych danych, takich jak szczegóły lokalizacji, obraz z kamery, kontakty itp. dla konkretnej aplikacji. Należy ocenić, czy aplikacja naprawdę powinna uzyskać dostęp do tych danych w oparciu o pytania przedstawione powyżej. Jeśli chodzi o urządzenia przeznaczone wyłącznie do użytku firmowego, należy stosować zasadę ograniczonego zaufania. Takie postępowanie może uchronić przed wyciekiem poufnych informacji. Administratorzy powinni rozważyć wprowadzenie zezwoleń wyłącznie na ściśle określone aplikacje oraz korzystanie np. z narzędzia Mobile Device Management w celu zabezpieczenia urządzeń i zarządzania nimi.

Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...