一家運動記錄公司,居然洩露了全球軍事基地與間諜前哨的位置和人員配備等敏感資訊。
這家公司名叫 Strava,其同名 app 可以讓人們記錄並分享自己的鍛鍊情況。在 Strava 推出的一款資料視覺化地圖中,顯示了使用者定位過的所有活動情況。
洛杉磯的熱力圖
這張地圖於 2017 年 11 月釋出,可以顯示每一個被上傳到 Strava 的活動——據該公司稱,這些活動包括了超 3 萬億個個人 GPS 資料點。Strava 可以被安在各種裝置上,無論是智慧手機還是像 Fitbit 這類智慧手環,使用者可以通過它來瀏覽各大城市的主流跑步路線,或是在較偏遠地區定位到處於異常運動模式的個人。
「格外」強大的新版本
Strava 釋出的這個熱力圖是繼 2015 年後的一個更新版本,這版 app 宣佈,「此更新包括 6 倍於前的資料量——截止到 2017 年 9 月的所有 Strava 資料,共計 10 億次活動。我們的全球熱力圖是最大、最豐富且最美麗的地圖資料集。它將 Strava 的全球運動網路進行了一種直觀的視覺化呈現。」
Strava 表明,新版熱力圖細節詳實,甚至足以看清墨西哥海岸的風箏衝浪路徑、追蹤橫跨北西班牙的 Camino de Santiago 朝聖之路、看清鐵人三項全能比賽在科納和夏威夷的海上路線。甚至,還包括內華達州沙漠火人節的佈局圖。「火人躍入式城市的獨特五邊形佈局,被永遠地蝕刻進了熱力圖,這要感謝所有使用 Strava 進行探索的跑者和自行車手們,」該公司寫道。
火人節只存在一瞬的「城市」
然而,軍事分析家在上週末注意到,這款地圖詳細到了可能會將某些 Strava 使用者極其敏感的資訊洩露出去的程度,而這些使用者包括,現役軍人們。
Nathan Ruser 是美國衝突分析研究所的一名分析師,他首先注意到了這個失誤。熱力圖「看起來很漂亮」,他寫道,但「Op-Sec 做得不好」——Op-Sec 是「作戰安全」的縮寫。「美軍基地可以被清楚地識別和定位。」
「如果士兵像普通人那樣使用這一 app,在運動時開啟跟蹤功能,那麼這就特別危險了,」Ruser 補充說,同時圈出了一條軌道,稱其看起來「像是記錄了一條有規律的慢跑路線。」
「在敘利亞,(美軍)聯盟基地被很多使用者定位追蹤過,基地在黑色的背景上熠熠閃光,」分析師 Tobias Schneider 寫道,「也有一些游標標記出了已知的俄羅斯基地,伊朗的基地沒有明顯的標記……看來不少人週一早上要聽訓了。」
在阿富汗、吉布提和敘利亞等地,Strava 使用者群看起來幾乎完全被外國軍事人員所佔領,使得這些基地看起來格外亮眼。例如,在阿富汗赫爾曼德省,前方作戰基地的位置清晰可見,在黑地圖背景上閃著白光。
阿富汗赫爾曼德省
對一個較大的基地進行放大,可以清楚地看到其內部佈局,這是由許多士兵的慢跑追蹤路線繪製出來的。該基地本身在谷歌地圖和蘋果地圖等商業供應商的衛星檢視中是不可見的,但在 Strava 上卻清晰可見。
美軍某海外基地「路線詳圖」
在直接衝突區之外,仍然能夠收集到潛在的敏感資訊。例如在一張內華達州 Homey 機場的地圖中,該地是美國的空軍基地,俗稱為 51 區(Area 51),記錄了一輛自行車的行車軌跡,從該基地出發沿著格魯姆湖西側駛去,在熱力圖中顯示為一條紅色細線。
51 區,與一條孤獨的自行車軌跡
福克蘭群島上的 RAF Mount Pleasant 英國皇家空軍基地在熱力圖上燈火通明,反映出了那裡的數千名英國軍人的運動情況——位於 Lake Macphee 和 Gull Island Pond 旁的水域,顯然是很受歡迎的游泳場所。
福克蘭群島上的 RAF Mount Pleasant 英國皇家空軍基地
未能倖免的情報機構
隨著安全分析人員不斷對深挖系統,在 Strava 熱力圖上已知的敏感機構的數量不斷上升。
朝鮮平壤,一條非常受歡迎的河邊跑道正熠熠生輝—市中心以東的紋繡洞附近,英國、德國、波蘭和捷克大使館所在的使館區也是如此。
在東非的吉布提城外,美國駐紮的 Lemonnier 營房清晰可見。這個通常負責發動對葉門和索馬利亞等地區的無人機攻擊的美國海軍遠征基地,就這麼被數千美國服役士兵們的鍛鍊記錄標記了出來。但是,在 Lemonnier 營的西南部,還有一處也被高亮出來的較小的基地,這個基地在地圖上沒有任何標記,但是被其居住者的跑步路徑框出了外牆。這個大院似乎是中情局的一個「暗樁」,這個猜想是由分析家 Markus Ranum 一週前提出的,現在得到了熱力圖的證實。
Lemonnier 營(右上),以及位於吉布提的一個疑似中情局基地(左下)
位於英格蘭切爾滕納姆的英國政府通訊總部(GCHQ)也是一個極度敏感的地點,如今也被縱橫交錯的 GPS 活動線所圈出來了,我們可以清晰地觀察到特工和情報分析人員正在記錄他們的通勤或午餐時間進行的運動:
位於英格蘭切爾滕納姆的英國政府通訊總部
位於弗吉尼亞州蘭利的中央情報局總部周圍也有類似的活動:
位於弗吉尼亞州蘭利的喬治布什情報中心
軍事安全規定的百密一疏
受到這一系列「發現」的影響,美國軍方正在考慮禁止健身追蹤器,預防未來可能發生的一些洩露事件。除了軍事基地的位置,如果單個服役人員使用預設隱私設定的服務的話,他們的身份也會被暴露出來,
「全球熱力圖」以聚合形式顯示了所有上傳到應用程式的公共活動。在一些主要城市,熱力圖點亮了最具人氣的跑步線路,但是在交通不便的地圖,它可以突出顯示運動人群的密集活動範圍—比如在海外服役的現役軍人的。
Strava 在一份宣告中表示:「我們的全球熱力圖是對上傳到我們平臺總計 10 億多次的活動進行彙總和匿名分析得出的結果。已經排除了那些被標記為隱私的活動或是使用者自己定義的隱私區域。」
該公司表示,「我們致力於幫助人們更好地理解我們的設定,讓使用者自己控制他們希望共享的內容,」Strava 分享了一篇 2017 年的部落格文章,其中詳細介紹了使用者可以取消分享的 8 種方式,包括在一個設定頁面中取消一個選中框從而可以退出全球熱力圖。
Strava 補充說:「我們非常認真地對待自己社群的安全問題,並致力於和軍方、政府官員在可能出現問題的涉密領域合作。」
雖然熱力圖僅僅顯示彙總資訊,但 Strava 自己的網站允許使用者深入追蹤每條跑步記錄,比如查詢個人的姓名,甚至他們實現本線路個人最佳紀錄的時間。
在軍事基地附近進行這類搜尋時,得到的資訊可能會非常敏感,例如,阿富汗空軍基地外 600 米跑道的成績榜單顯示了駐紮在那裡的 50 多名服役人員的全名以及他們跑步的日期。其中一名選手在今年 1 月 20 日獲得個人最好成績,這意味著他現在幾乎一定還駐紮在那裡。
作為美國空軍無人機的中轉站的吉布提 Chabelley 機場內,共有三名跑步者跑完過一條長達 7 公里的跑道—其中兩名在 2014 年 12 月份完成,還有一名則是在 2 年之後的 2016 年 8 月完成。三人中至少有一個人已經不再駐紮在那裡了:情況顯示,他在 2016 年轉去了德國的一個空軍基地。
五角大樓週一表示,正在對是否需要加強安全協議進行審查。「國防部非常重視此類事情,並正在審查有關情況,以確定是否需要額外的培訓或是規範,」五角大樓在宣告中如是說道,並未直接確認是否有美軍士兵使用了運動追蹤器。
澳大利亞聯合報的一份報告顯示,澳大利亞軍方表示正在考慮採取行動預防未來可能出現的安全漏洞。澳大利亞國防協會發言人 Neil James 說,任何記錄和傳輸資料的裝置都應該在執行軍事行動的時候被放在家中。Neil James 對澳大利亞聯合報表示,「就像在第二次世界大戰中,想要保持安全,你需要做的就是檢查所有人員的信件,確保他們不會在信中告訴家裡的某個人他們做的那些本不應該做的事情,」
美國海軍陸戰隊從 2016 年開始就有了使用「個人可穿戴健身裝置」的明確政策。「如果裝置含有蜂窩技術(一種無線通訊技術)或者無線網路、攝影、視訊捕捉/錄製、麥克風或錄音功能,一律禁止使用。」政策指出「僅僅禁用蜂窩、攝像機或是視訊功能是不夠的。」
但是,如果裝置不包含上述功能,則確實可以使用。政策還明確提到,在基地可以使用具備藍芽連線和 GPS 追蹤功能的裝置,並且沒有明令禁止使用者上傳此類資訊。而使 Strava 等應用能夠建立個性化的歷史活動地圖的,正是藍芽與 GPS 功能。