Цікавий кейс оприлюднило французьке видання Le Monde.
Є такий додаток Strava: якщо ви полюбляєте побігати або кататися на веліку і ділитися своїми результатами та досягненнями, то встановлюєте цей додаток, реєструєтеся у ньому і після кожної пробіжки бачите маршрут, швидкість, пройдену дистанцію, тощо. Можна також бачити такі ж дані інших бігунів/велосипедистів.
Така собі соціальна мережа для спортсменів: можна «лайкати» інших учасників, домовлятися про групові забіги, коментувати, викладати фото з маршруту, тощо.
Поколупавшися у цьому сервісі, журналісти вирахували десятки охоронців Джо Байдена, Джил Байден, Барака Обами, Емануля Макрона, Мелані Трамп, самого Дональна Трампа, Майка Пенса, Камали Харріс та навіть виявили шість бодігардів російського диктатора путєна (при тому, що березні 2022 року Strava припинила роботу сервіса на росії та білорусі).
То як вдалося отримати таку засекречену інформацію?
Насправді ніякої магії і ніяких супер-хацкерів.
Спочатку співставили маршрути 70 офіційних візитів Джо Байдена за кілька років - з даними пробіжок зі Strava у ці ж дні в районах мешкання офіційної делегації. Таким чином у Strava було ідентифіковано 150 агентів.
З них список звузили до 26 – щодо яких не було ніяких сумнівів, що вони входять до складу охорони Президента США. Тому що охоронці президента завжди слідують за ним. А як тільки профілі агентів Секретної Служби США стають публічними – вони перестають бути секретними.
Але як дізналися що саме ці юзери Strava таки є агентами?
А тут ще простіше: попри реєстрацію у Strava під вигаданими іменами, справжні імена користувачів також можна побачити – і це продемонстровано у відео: cutt.ly/XeHlziGc
А маючи ім'я – можна його погуглити. І знайти акаунти у соцмережах, де ті ж люди зі Strava фотографуються біля Білого Дому або навіть безпосередньо з Джо Байденом. І разом з сім'ями: з дружинами, з дітьми. А далі, знаючи ще цей акаунт Strava належить агенту охорони Президента США – можна знайти адресу мешкання його та його сім'ї: просто по маршрутами пробіжок. Бо люди майже завжди вибігають з дому, і повертаються – о диво! - туди ж.
І цей метод спрацював майже по всіх 26 акаунтах Strava, ідентифікованих як «охоронці Президента США». Та ще й вирахували місця, де бодігарди з родинами проводять відпустки.
Як може таку інформацію використати недружня спецслужба – можна легко здогадатися. Охоронця Президента можна залякувати, підкупляти, шантажувати, викрадати його родину, шукати компромат чи створювати провокаційні ситуації – варіантів безліч. Щоб примусити його зливати інформацію або іншим чином сприяти ворожій діяльності – аж до замаху на політика №1 у Світі.
Скоріш за все, подібні спортивні додатки та відповідні OSINT-інструмент вже давно використовуються провідними спецслужбами.
Але у мене виникає два ключових питання.
Перше: як так вийшло, що додаток видає будь-кому реальні імена користувачів замість нікнеймів? Навіщо тоді нікнейми? Як там стосовно конфіденційності та безпеки персональних даних?
І головне питання: а нахіба агенту US Secret Service реєструватися у Strava під своїм, бляха, реальним ім’ям?! От мізки є у чуваків? Так, під час роботи їм заборонено використовувати приватні девайси. Але ж і після роботи ти залишаєшся агентом, хіба це не очевидно?
Перед публікаціє свого розслідування Le Monde надіслала його результати до USSS і ті дали відповідь, що, типу, розберуться. Але на момент публікації матеріалу 14 з 26 профілів ідентифікованих агентів USSS – залишалися публічними. Тепер ніхто не дивується останнім провтикам цієї організації?
Але ж я розказав цю історію не тільки тому, що вона цікава: з неї також можна зробити кілька важливих висновків.
1. Безпека додатків залишається великою проблемою не тільки для України. Ідіотів скрізь вистачає.
2. Досить часто вразливості системи знаходять у зовсім неочікуваних місцях. Захищаєшся від одного, а хакають тебе через зовсім інше, про яке й не думав.
3. Цілком легітимні та начебто безпечні функції з персональними даними можна використати на шкоду як самим користувачам, так і їхньому оточенню. Привіт, Резерв+Дія.
