Hogyan szivárogtatnak katonai titkokat a fitnesz alkalmazások
A fitneszkövető alkalmazások, mint a Strava, többször is felfedték katonai bázisok, repülőgép-hordozók és testőrök tartózkodási helyét. Íme, hogyan válik a helyadatokból hírszerzési aranybánya.
A láthatatlan nyom
Minden alkalommal, amikor egy katona befűzi a futócipőjét és megnyomja a "start" gombot egy fitnesz alkalmazásban, GPS-morzsák nyoma kezd rögzülni. A legtöbb felhasználó számára az adat ártalmatlan – a reggeli kocogások és a hétvégi biciklitúrák naplója. De a katonai személyzet, a hírszerző ügynökök és a biztonsági részlegek számára ugyanezek az adatok elárulhatják a titkos bázisok, nukleáris hordozók és a világ vezetőinek tartózkodási helyét.
A probléma nem új. Legalább 2018 óta a fitneszkövető platformok – leginkább a Strava – ismétlődő műveleti biztonsági (OPSEC) hibák középpontjában állnak, amelyek a világ legérzékenyebb katonai információit tárták fel bárki számára, aki rendelkezik internetkapcsolattal.
Hogyan válik a helyadatokból hírszerzés
A fitnesz alkalmazások úgy működnek, hogy a felhasználó GPS-koordinátáit gyakori időközönként rögzítik edzés közben. Amikor a felhasználók nyilvánosan feltöltik az edzéseket, bárki megtekintheti az útvonalat, az időbélyeget és a helyet. Önmagában egyetlen kocogás jelentéktelennek tűnhet. A hírszerző elemzők azonban egy úgynevezett életminta-elemzést alkalmaznak: sok adatpontot összesítenek idővel, hogy feltérképezzék a rutint, azonosítsák a létesítményeket, és akár előre jelezzék a jövőbeli mozgásokat.
A Strava globális hőtérképe – a felhasználóktól származó több milliárd GPS-adatpont vizualizációja – ezt még könnyebbé teszi. A hőtérkép fényesen világít mindenhol, ahol sok ember edz, és elhalványul a távoli területeken. 2018-ban Nathan Ruser ausztrál kutató világító kocogóutakat fedezett fel a szíriai és afgán sivatagok közepén, pontosan nyomon követve a titkosított amerikai és szövetséges katonai bázisok kerületeit és járőrútvonalait.
A szabálysértések mintázata
A 2018-as hőtérkép-incidens csak a kezdet volt. A későbbi vizsgálatok riasztó mintát tártak fel:
- 2018: A Strava hőtérképe feltárta az amerikai katonai bázisokat Afganisztánban, Szíriában, Irakban, és még egy feltételezett CIA-létesítményt is Szomáliában. A Pentagon azonnali felülvizsgálatot indított.
- 2018: A kutatók megállapították, hogy a Polar fitnesz alkalmazás azonosíthatja a Guantánamo-öbölben, a drónbázisokon és a nukleáris fegyverek tároló létesítményeiben dolgozók nevét és lakcímét, amint arról a Bellingcat beszámolt.
- 2022: Az izraeli FakeReporter NGO feltárt egy Strava-szabálysértést, amely 100 egyént azonosított hat szigorúan titkos izraeli katonai létesítményben.
- 2024: A Le Monde #StravaLeaks vizsgálata 26 amerikai titkosszolgálati ügynököt, 12 francia biztonsági személyt és 6 orosz ügynököt azonosított a nyilvános Strava-profiljuk alapján – pontosan meghatározva Biden és Trump elnökök tartózkodási helyét, és még azt a szállodát is, ahol Biden Kína elnökével, Hszi Csin-pinggel való találkozója előtt tartózkodott.
Miért történik ez újra és újra
A 2018-as botrány után az Egyesült Államok Védelmi Minisztériuma betiltotta a helymeghatározást engedélyező eszközök használatát a bevetett csapatok számára. A katonák hordhatnak fitneszkövetőket, de a műveleti területeken ki kell kapcsolniuk a GPS-funkciókat. Más NATO-szövetségesek is hasonló iránymutatást adtak ki.
Azonban a szabálysértések több okból is folytatódnak. Először is, a szabályokat nehéz betartatni, ha személyes eszközökről van szó. Az amerikai titkosszolgálat a Le Monde-nak elmondta, hogy nem tilthatja meg az ügynökök szabadidős közösségi média használatát. Másodszor, sok felhasználó egyszerűen nem veszi észre, hogy a profiljuk alapértelmezés szerint nyilvános. Harmadszor, a fitnesz eredmények közösségi platformokon való megosztásának kultúrája állandó kísértést teremt a biztonsági protokollok felülírására.
Nyílt forrású hírszerzés robotpilótán
Ami a fitnesz alkalmazások szivárgásait különösen veszélyessé teszi, az az, hogy nincs szükségük feltörésre. Minden adat önkéntesen kerül feltöltésre és nyilvánosan megtekinthető. A hírszerző szakemberek ezt nyílt forrású hírszerzésnek (OSINT) nevezik – szabadon hozzáférhető forrásokból gyűjtött információk. Egy ellenséges szereplőnek csak böngésznie kell a Stravát, össze kell vetnie a felhasználóneveket a LinkedIn-profilokkal vagy a nyilvántartásokkal, és részletes képet kell alkotnia a katonai mozgásokról.
A technika könnyen skálázható. Automatizált szkriptek ezrek profilját tudják összegyűjteni, feltérképezni a katonai létesítmények közelében lévő aktivitási klasztereket, és megjelölni az anomáliákat – például egy futótevékenység hirtelen megjelenését egy üres óceánszakaszon, ami pontosan az, ahogyan az újságírók 2026-ban megerősítették a francia Charles de Gaulle nukleáris repülőgép-hordozó helyzetét a Földközi-tengeren, miután egy tengerész 7 kilométeres fedélzeti futást rögzített a Straván.
Mit tehetnek a felhasználók
A biztonsági szakértők több lépést javasolnak mindenkinek, aki érzékeny szerepet tölt be: állítsa az összes fitneszprofilt privátra, tiltsa le a GPS-rögzítést munka közben, használja a Strava beépített adatvédelmi zónáit a kezdő- és végpontok elrejtéséhez, és kerülje az edzésadatok megosztását bármilyen nyilvános platformon. A katonai szervezetek számára a tanulság egyértelmű: a fogyasztói technológia és a műveleti biztonság állandó feszültségben létezik, és egyetlen szabályzati feljegyzés sem helyettesítheti az egyéni tudatosságot.
