A Strava nevű fitneszapp kínálta kiskaput használták ki a meg nem nevezett kíváncsiskodók: az alkalmazás lehetőséget nyújt arra, hogy úgynevezett szegmenseket jelöljenek ki a felhasználók, amelyen összemérhetik teljesítményüket más futókkal. Azt senki sem felügyeli, hogy ezek az útvonalak valóban gyakran lefutott utak-e.
Ezt kihasználva izraeli katonai bázisokra telepítettek szegmenseket az app segítségével kémkedők, így képessé váltak nyomon követni az ezeket lefutó izraeli katonák mozgását – még abban az esetben is, ha ők a legszigorúbb biztonsági beállításokat választották ki.
Küldetését is nyomon követhették egy katonának
A The Guardian egy olyan példával szemlélteti a helyzetet, amelyben egy, feltehetően az izraeli nukleáris programmal kapcsolatban álló bázison futott valaki,
akit aztán más katonai bázisokon és egy külföldi országban is nyomon követtek.
A tevékenységet a FakeReporter nevű izraeli nyílt forráskódú hírszerző szervezet fedezte fel.
"Azonnal kapcsolatba léptünk az izraeli biztonsági erőkkel, amint tudomást szereztünk erről a biztonsági résről. Miután megkaptuk a biztonsági erők jóváhagyását a folytatáshoz, a FakeReporter felvette a kapcsolatot a Stravával, és ők egy vezetői csapatot alakítottak a probléma megoldására" - mondta el a csoport ügyvezető igazgatója, Achiya Schatz.
Gyanús szegmensek akadnak szép számban
A Strava bárki számára engedélyezi szegmensek feltöltését, akkor is, ha olyan területre kívánják azt elhelyezni, ahol sosem jártak. A megfigyeléshez használt szegmensek sok szempontból gyanúsak voltak: több száz kilométeres sebesség, szokatlanul egyenes útvonalak és sziklacsúcsokról való leugrások jelzik, hogy
ezeket mesterséges intelligencia hozta létre,
nem pedig valós felhasználó futotta vagy biciklizte végig.
Persze hasonló szegmenseket egyszerű felhasználók is feltölthettek azzal a céllal, hogy csaljanak és legyőzzenek másokat, de egy felhasználó, aki Bostont adta meg lakhelyéül, csak izraeli katonai támaszpontokra helyezett szegmenseket.
"Azzal, hogy ellenséges személyek kihasználják ezt a lehetőséget, egy riasztó lépéssel közelebb hozza azt, hogy kihasználjanak egy népszerű alkalmazást annak érdekében, hogy kárt okozzanak a polgárok és az országok biztonságának" - mondta Schatz.
Nem először van baj a Stravával
A szegmensek rávilágítanak arra is, hogy hiába állítja be egy felhasználó, hogy csak követői tudhassák, ki ő, a szegmenseket lefutók profilképe, keresztneve és vezetéknevének első betűje láthatóvá válik a barátságos versengés érdekében, ezáltal azonosíthatóvá is válhatnak. Egy katonai bázisokon is futó izraeli például megnyert egy olyan futóversenyt, amelyről nyilvánosan is beszámolt a sajtófutóversenyen, ezzel teljesen azonosíthatóvá vált.
A Strava a gyanús felhasználó irányába megtette a szükséges lépéseket, egyben felhívta a figyelmet, hogy minden felhasználónak érdemes megismernie a biztonsági beállításokat. Az eset egy 2018-as botrányt idéz fel, amelyben
a Strava térképre helyezte az összes, világszerte az alkalmazásban rögzített sporttevékenységet, ezáltal leleplezte afganisztáni katonai támaszpontok pontos helyét is.
A Strava a katona felhasználóknak azt javasolta, ne engedélyezzék a vizualizáció lehetőségét az alkalmazásban.