Selskapet bak den mye brukte treningsappen Strava har i flere år lagt ut anonymiserte varmekart over hvor brukerne trener og beveger seg. Dette kan sikkert ha nytteverdi for mange av brukerne, blant annet for å se hvor man bør (eller ikke bør) legge treningsturen sin.
Men i løpet av helgen har det blitt avslørt muligheter som ikke er like heldige.
Hemmelige baser
Nathan Ruser, en australsk student ved Australian National University, har nemlig oppdaget at disse varmekartene også kan avsløre på kartet posisjonen til blant annet hemmelige, amerikanske militærbaser i Midtøsten.
Strava released their global heatmap. 13 trillion GPS points from their users (turning off data sharing is an option). https://t.co/hA6jcxfBQI … It looks very pretty, but not amazing for Op-Sec. US Bases are clearly identifiable and mappable pic.twitter.com/rBgGnOzasq
— Nathan Ruser (@Nrg8000) 27. januar 2018
Årsaken er at soldatene ved basene bruker appen på samme måte som alle andre. Dette gjelder ikke bare amerikanske soldater, og ikke bare under trening. Ruser har også funnet tydelige spor etter tyrkiske og russiske patruljer i varmekartene. Disse kan avsløre hvilke ruter som brukes under patruljeaktiviteten.
Oppdaget det tilfeldig
Ruser, som kombinerer studier innen internasjonal sikkerhet med midtøstenstudier, er spesielt interessert i konflikten i Syria, og det er gjennom studier av Stravas varmekart over Syria at han begynte å oppdage militærbaser.
– Dersom jeg finner fint kart, pleier jeg å se hvordan Syria ser ut på det kartet. Og det øyeblikket du ser på Syria, lyser militærbasene opp, sier Ruser til The Sydney Morning Herald.
– Dersom du har en viss bakgrunnskunnskap om hvor disse basene ligger, kan du bare se på kartet og tenke at «alt dette er militærbaser, crap».
Flere funn
Ifølge Daily Beast avslører varmekartene blant annet et missilkommandosenter i Taiwan. Twitter-brukeren Mr Ghostly har funnet det som skal være en amerikansk flybase i Syria, aktivitet rundt bygninger knyttet til Syrias 68. mekaniserte brigade, rutene til streifvakter ved en syrisk base for kjemiske våpen og missiler, samt tyrkiske stillinger.
Ifølge den amerikanske journalisten Ben Taub avslører kartene både en fransk og en amerikansk base i Niger. Taub visste riktignok om disse to fra før.
– Jeg fant til og med en base jeg ikke visste om, rett på utsiden av Arlit. Og nigerske tropper jogger ikke rundt med Fitbits, skriver Taub på Twitter.
Ifølge Washington Post skal en annen twitterbruker ha funnet en Patriot-missilbase i Jemen ved hjelp av varmekartene.
Sjokkbølger?
Ifølge The Sydney Morning Herald skal Rusers oppdagelser ha sendt sjokkbølger gjennom de internasjonale etterretnings- og militærmiljøene. Om dette faktisk stemmer, er uklart, men en amerikansk flyvåpenoberst sier til Washington Post at det amerikanske forsvaret etterforsker disse funnene.
Det kan virke som at det er ganske bred enighet om at ikke problemet først og fremst er knyttet til at Strava publiserer disse dataene. Problemet er først og fremst at soldater i praksis publiserer sin gjøren og laden i det som kan anses for å være et sosialt medium.
Big OPSEC and PERSEC fail. Patrol routes, isolated patrol bases, lots of stuff that could be turned into actionable intelligence. https://t.co/22h1Io6rpv
— Nick Waters (@N_Waters89) 27. januar 2018
Også vanlige brukere
Selv om varmekartene som Strava offentliggjør er anonymiserte og bare inneholder aggregerte data fra 2015 til 2017, så kan de likevel avsløre deler av aktiviteten til enkeltbrukere. Dette gjelder ikke minst brukere som bor i eneboliger og som ikke har satt opp en personvernsone som hindrer rapportering innenfor en viss radius fra for eksempel boligen til brukeren. Dette er ikke aktivert som standard, så brukerne må selv skru det på. Strava omtaler disse personvernmulighetene her.
Men noe av funksjonaliteten til Strava handler om at brukeren skal kunne konkurrere mot andre som for eksempel har løpt en viss strekning. Da får man tilgang til noe av andre brukeres treningsdata. Men ifølge en twitterbrukeren Paul D er det trivielt å skrape disse dataene i større skala, slik får en liste over alle som har beveget seg en gitt rute.
It just keeps getting deeper. You can also trivially scrape segments, to get a list of people who travelled a route, and trivially obtain a list of users. #Strava pic.twitter.com/U9DnPsyHUD
— Paul D (@Paulmd199) 28. januar 2018
Han forteller i en senere twittertråden at han kunne identifisere en fransk soldat som løp en fast rute i en leir i Irak og følge ham hjem til Frankrike. Paul D mener dette kan gjøre soldaten mer utsatt for hevnangrep i hjemlandet.
