Jak aplikacje fitness ujawniają tajemnice wojskowe
Aplikacje do śledzenia aktywności fizycznej, takie jak Strava, wielokrotnie ujawniały lokalizacje baz wojskowych, lotniskowców i ochroniarzy światowych przywódców. Oto jak dane o lokalizacji stają się kopalnią wiedzy wywiadowczej.
Niewidzialny ślad
Za każdym razem, gdy żołnierz sznuruje buty do biegania i klika „start” w aplikacji fitness, zaczyna się rejestrować ślad okruchów GPS. Dla większości użytkowników dane te są nieszkodliwe – to zapis porannych joggingów i weekendowych przejażdżek rowerowych. Ale dla personelu wojskowego, agentów wywiadu i służb ochrony te same dane mogą zdradzić lokalizacje tajnych baz, lotniskowców o napędzie atomowym i światowych przywódców.
Problem nie jest nowy. Co najmniej od 2018 roku platformy do śledzenia aktywności fizycznej – zwłaszcza Strava – znajdują się w centrum powtarzających się naruszeń bezpieczeństwa operacyjnego (OPSEC), które ujawniły niektóre z najbardziej wrażliwych informacji wojskowych na świecie każdemu, kto ma dostęp do Internetu.
Jak dane o lokalizacji stają się informacjami wywiadowczymi
Aplikacje fitness działają poprzez rejestrowanie współrzędnych GPS użytkownika w częstych odstępach czasu podczas ćwiczeń. Kiedy użytkownicy publicznie przesyłają treningi, każdy może zobaczyć trasę, znacznik czasu i lokalizację. Sam w sobie pojedynczy jogging może wydawać się bez znaczenia. Ale analitycy wywiadu używają techniki zwanej analizą wzorca życia: agregowania wielu punktów danych w czasie, aby mapować rutyny, identyfikować obiekty, a nawet przewidywać przyszłe ruchy.
Globalna mapa ciepła Stravy – wizualizacja miliardów punktów danych GPS od jej użytkowników – jeszcze to ułatwia. Mapa ciepła świeci jasno wszędzie tam, gdzie ćwiczy wiele osób, i przygasa na odległych obszarach. W 2018 roku australijski badacz Nathan Ruser zauważył świecące ścieżki do joggingu na środku syryjskiej i afgańskiej pustyni, wyznaczające dokładne granice i trasy patroli nieujawnionych baz wojskowych USA i ich sojuszników.
Seria naruszeń
Incydent z mapą ciepła w 2018 roku był tylko początkiem. Kolejne dochodzenia ujawniły alarmujący schemat:
- 2018: Mapa ciepła Stravy ujawniła bazy wojskowe USA w Afganistanie, Syrii, Iraku, a nawet podejrzewany obiekt CIA w Somalii. Pentagon natychmiast rozpoczął przegląd.
- 2018: Badacze odkryli, że aplikacja fitness Polar może identyfikować nazwiska i adresy domowe personelu w Guantánamo Bay, bazach dronów i obiektach do przechowywania broni jądrowej, o czym donosi Bellingcat.
- 2022: Izraelska organizacja pozarządowa FakeReporter ujawniła naruszenie w Stravie, które zidentyfikowało 100 osób w sześciu ściśle tajnych izraelskich instalacjach wojskowych.
- 2024: Śledztwo Le Monde #StravaLeaks zidentyfikowało 26 agentów Secret Service USA, 12 francuskich pracowników ochrony i 6 rosyjskich agentów na podstawie ich publicznych profili na Stravie – wskazując lokalizacje prezydentów Bidena i Trumpa, a nawet hotel, w którym Biden zatrzymał się przed spotkaniem z Xi Jinpingiem.
Dlaczego to się powtarza
Po skandalu w 2018 roku Departament Obrony USA zakazał używania urządzeń z włączoną geolokalizacją dla rozmieszczonych żołnierzy. Członkowie służby mogą nosić trackery fitness, ale muszą wyłączyć funkcje GPS na obszarach operacyjnych. Inni sojusznicy NATO wydali podobne wytyczne.
Jednak naruszenia nadal się zdarzają z kilku powodów. Po pierwsze, trudno jest egzekwować zasady, gdy w grę wchodzą urządzenia osobiste. Secret Service USA poinformowała Le Monde, że nie może zakazać agentom korzystania z mediów społecznościowych poza służbą. Po drugie, wielu użytkowników po prostu nie zdaje sobie sprawy, że ich profile są domyślnie publiczne. Po trzecie, kultura dzielenia się osiągnięciami fitness na platformach społecznościowych stwarza ciągłą pokusę do łamania protokołów bezpieczeństwa.
Wywiad open-source na autopilocie
To, co sprawia, że wycieki z aplikacji fitness są szczególnie niebezpieczne, to fakt, że nie wymagają hakowania. Wszystkie dane są dobrowolnie przesyłane i publicznie widoczne. Specjaliści od wywiadu nazywają to wywiadem open-source (OSINT) – informacjami zebranymi z ogólnodostępnych źródeł. Wrogi podmiot musi jedynie przeglądać Stravę, porównywać nazwy użytkowników z profilami na LinkedIn lub publicznymi rejestrami i budować szczegółowy obraz ruchów wojsk.
Technika ta jest łatwo skalowalna. Zautomatyzowane skrypty mogą przeszukiwać tysiące profili, mapować skupiska aktywności w pobliżu znanych obiektów wojskowych i oznaczać anomalie – takie jak nagły wzrost aktywności biegowej pojawiający się na pustym odcinku oceanu, co dokładnie w ten sposób dziennikarze w 2026 roku potwierdzili pozycję francuskiego lotniskowca o napędzie atomowym Charles de Gaulle na Morzu Śródziemnym po tym, jak marynarz zarejestrował 7-kilometrowy bieg po pokładzie na Stravie.
Co mogą zrobić użytkownicy
Eksperci ds. bezpieczeństwa zalecają kilka kroków dla każdego, kto pełni wrażliwą rolę: ustawić wszystkie profile fitness jako prywatne, wyłączyć nagrywanie GPS podczas pracy, użyć wbudowanych w Stravę stref prywatności, aby ukryć punkty początkowe i końcowe, i unikać udostępniania danych treningowych na jakiejkolwiek platformie publicznej. Dla organizacji wojskowych lekcja jest jasna: technologia konsumencka i bezpieczeństwo operacyjne znajdują się w stałym napięciu i żadne memorandum polityczne nie zastąpi indywidualnej świadomości.
