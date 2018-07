Suomalaissotilaiden ja ulkomaisten tiedustelupalveluiden työntekijöiden nimiä ja osoitetietoja on selvinnyt suomalaisen Polar-yhtiön fitness-sovelluksen avulla, kertoo Long Play. Tietosuojavaltuutettu tutkii nyt haavoittuvuutta.

Lehti selvitti Polarin tietoturvapuutteita yhdessä hollantilaisen De Correspondentin sekä avointa dataa tutkivan Bellingcat-ryhmän kanssa. Ryhmä tutki kaikkiaan noin 6 000 käyttäjän tietoja ja löysi niistä yhdysvaltalaisen NSA:n, brittiläisen GCHQ:n ja MI6:n, venäläisen GRU:n sekä SVR RF:n, Ranskan DGSE:n ja Hollannin MIVD:n työntekijöitä.

Suuri osa datasta löytyi sovelluksen täysin julkisesta kartasta, johon myös arkaluonteisissa kohteissa liikkuvat käyttäjät olivat itse liittäneet profiilinsa. Polarin Strategiajohtaja Marco Suvilaakso korostaa, että käyttäjien on itse täytynyt säätää asetuksiaan, jotta mitkään tiedot näkyisivät muille käyttäjille.

–Etenkään niiden, jotka käyttävät Flow’ta sensitiivisillä alueilla, ei kannattaisi laittaa treenejään julkisiksi, Suvilaakso kommentoi Long Playlle.

Toimittajatyöryhmä pääsi kuitenkin käsiksi myös sellaisten käyttäjien tietoihin, jotka eivät olleet tehneet profiileistaan julkisia.

Esimerkiksi anonyymisti Pohjois-Irakissa hölkkäävä henkilö piirsi karttaan ympyrän, ja kun kyseistä sijaintia tarkasteli lähemmin, löytyi pieni sotilastukikohta keskeltä kurdien, Irakin joukkojen ja terroristijärjestö Isisin välisiä sotatoimia.

Flow-sovelluksessa olevan haavoittuvuuden kautta työryhmä selvitti hölkkääjän yksilöllisen käyttäjäkoodin ja pääsi katsomaan mitä muita urheilusuorituksia hän on tehnyt. Hölkkääjä on muun muassa juossut, uinut ja pyöräillyt ympäri Suomea, ja koska hän on palannut aina saman asuntorykelmän luo, hänen todennäköinen kotiosoitteensa saatiin paljastettua.

Viime perjantaille päivätyssä tiedotteessa Polar kertookin selvittävänsä, miten paikannusta voisi kehittää ja vahvistaa palvelun tietoturvaa.

Lähde osin: Tekniikka & Talous, Tivi