A gennaio di quest’anno si è scoperto che i dati pubblicamente disponibili dell’app/social Strava, usata da milioni di sportivi per registrare i percorsi, permettevano di ottenere una mappa con i dati sull’attività fisica nel mondo.
Una debolezza non calcolata da chi produce alcuni tracker per lo sport, è la possibilità di ottenere informazioni sensibili sulle basi militari rivelando la posizione e gli spostamenti di migliaia di soldati impegnati in alcune zone di guerra del mondo, mettendo ovviamente a rischio la loro sicurezza.
Queste appp consentono agli iscritti di condividere i dati sulle corse (a piedi o in bici) raccolti dai loro dispositivi, tracker che tipicamente includono un rilevatore GPS per ottenere il percorso seguito durante ogni sessione. I dati in questione vengono inseriti su una mappa pubblica, evidenziando i percorsi più seguiti. Nelle grandi città i dati sembrano ovviamente fare riferimento a mappe generiche ma se si osservano le mappe di zone come il Medio Oriente, è facile individuare i movimenti attorno alle basi militari statunitensi.
Il problema non riguarda solo Strava ma anche Power Flow, app utilizzabile in abbinamento a “bike computer”, “training computer” e sensori vari di Polar, azienda specializzata nel settore dei cardiofrequenzimetri. Tra le peculiarità dei prodotti di quest’azienda c’è il servizio web Polar Flow, una sorta di social pensato per allenarsi con gli amici o accedere alle sessioni per raggiungere degli obiettivi.
Ricercatori di Bellingcat e De Correspondent hanno scoperto che il servizio web di Polar può rivelare con pochi sforzi le posizioni di militari e agenti dell’intelligence: basta conoscere la posizione di un’installazione sensibile (es. una base militare o un’agenzia di spionaggio) per ottenere i dati di qualcuno che in zona usa un fitness tracker di Polar e capire i percorsi seguiti. Molti utenti di questi dispositivi usano nomi reali ed è possibile capire dove si recano al termine degli allenamenti.
I ricercatori fanno sapere di avere compilato un elenco di circa 6500 nomi, inclusi nomi di militari che si trovano in zone instabili quali Baghdad, la zona demilitarizzata coreana, di dipendenti della National Security Agency e del CEO di un’industria manifatturiera. Com’è facile immagine, terroristi potrebbero usare i dati per attaccare o rapire profili di altro livello in situazioni di estrema vulnerabilità.
Polar risposta ai timori paventati sospendendo temporaneamente la funzionalità “Explore” e starebbe sviluppando un sistema per tenere la privacy sotto controllo con opzioni che, ad esempio, consentiranno di cancellare i dati sull’allenamento. Interessante notare come, nonostante si faccia un gran parlare di privacy, molte aziende non tengono conto di aspetti banali in merito alla raccolta dei dati e le loro possibili implicazioni.