2017年11月,健身追踪应用 Strava 公布了一份用户活动“热度图 (Heatmap)”并表示其中含有10亿次活动、3万个亿经纬度点、13万亿光栅像素以及10 TB 输入数据。
军事基地位置遭曝光
虽然可能来迟了一点,但还有有人在上周晚些时候想知道一个问题:“有多少 Strava 用户是军队或国家安全组织的成员呢?他们也上传了自己的数据吗?”答案是,“很多用户都是,而且他们很多都上传了数据。他们暴露了自己的工作地点、住址、何时被派往新岗位以及如何出其不意地伏击他们。”
澳大利亚国立大学的一名国际安全学生 Nathan Ruser 观测到 Strava 的数据中包含军事和国家安全员工的运动路线后,在 Strava 上定位军事设施就成为社交媒体的热门话题。
比如,在澳大利亚,现在可能能够看到人们在秘密的大漠深处松树谷信号情报站点的运动位置:
人们还注意到,Strava 暴露的信息并未超过谷歌地图上的可见范围。例如,如下是从谷歌上看到的松树谷位置。相比之下,谷歌地图上的图像更为清晰。
Strava 就制作热度图的方式作出的解释是,提出了要求保持私密性的用户数据。Strava 为用户提供了在方圆1公里内创建多个“私密区域”的设置。当用户进入这类区域时,他们的电子足迹会消失,这样他人就无法发现他们的工作和生活地点。
因此,如果用户进行了私密设置,那么披露敏感设施的地理位置信息或者军人的习惯数据就会被剔除掉。
军人的“生活模式”遭暴露
然而,Ruser 在推特上指出,令人担忧的数据不止是军事基地的位置:建立“生活模式”信息的能力也让热度图成为一个重要的风险来源。他指出,“如果士兵也像一般人一样使用这款应用,当他们健身时打开位置追踪,那么情况会非常危险。这种具体的追踪看似记录了常规的慢跑路线,但我能通过这些信息建立他们的生活模式信息。”
在 Daily Beast 报纸工作的 Adam Rawnsley 指出,如果 Strava 用户出现在某军事基地周边的某个区域,这款 app 甚至还能暴露军队的移动情况。他指出,“Strava 健身 app 的数据表明,中国在中国南海地区存在争议的西沙群岛的永兴岛周边部署了慢跑者,除此之外还部署了战斗机和 HQ-9 地对空导弹。”
个人隐私暴露到家门口
除了军事秘密外,The Register 也认为热度图的详细程度足以给个人带来威胁。Brian Haugli 发现细节竟然已经精确到用户的家门口了:“您可以通过缩放到具有短线的房屋查看正在使用 Strava 的个人用户。Strava 确实提供了设置隐私区域的功能,但它并未默认开启。”另外,还有人发现能够为沿某条线路出行的用户画像。
Strava 的隐私设置或不够谨慎
欧洲隐私研究员 Lukasz Olejnik指出,即便用户并未将自己的家庭设置为隐私区域(Haugli 注意到 Strava 并未默认将家庭位置设为隐私),那么这种个人可识别信息也本不应遭公开。Olejnik 表示,至少有人应该在发布这些信息前做一个隐私影响声明。
Olejnik 认为,“这就突出了地理位置数据匿名化以及大规模数据集如何暴露异常模式带来的问题。组织机构应该在发布私密信息前仔细考虑多层后果。因此对这类项目的隐私影响力做出评价是一件非常具有冒险的事情。”
Olejnik 还在推特上表示,欧洲的《数据保护通用法案 (GDPR)》认为位置信息是敏感信息,也就是说应该谨慎处理这些信息。
本文由360代码卫士翻译自theRegister
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。