No mais recente incidente de compartilhamento de dados aparentemente inofensivo levando a uma exposição potencialmente perigosa, o popular app fitness e de rastreamento de atividade Polar Flow tem revelado locais sensíveis em que militares e funcionários do governo têm trabalhado, segundo o ZDNet.
• App fitness libera dados “anônimos” e acaba revelando bases militares no mundo todo
A reportagem cita uma investigação conduzida pelo site de notícias holandês De Correspondent e pelo Bellingcat, que descobriram que era possível encontrar informações de malhação registradas pelo Polar Flow e usá-las para potencialmente identificar os nomes dos funcionários trabalhando em bases militares e prédios governamentais.
De acordo com o ZDNet, a técnica incluía acessar a API de desenvolvedor do Polar, a empresa finlandesa que produz o Polar Flow. Por meio da API, uma pessoa pode não apenas explorar dados públicos que os usuários compartilham de bom grado, mas também recuperar informações de rastreamento dos usuários que têm seus perfis configurados como privados. A API também não limitava o número de pedidos que uma pessoa poderia fazer, então era possível que alguém raspasse informações de milhões de usuários que usavam o Polar Flow para acompanhar seus treinos.
Usando esse acesso basicamente sem restrições, se tornou possível identificar pessoas trabalhando em localizações sensíveis, como bases militares. O De Correspondent explicou que a técnica simplesmente exigia procurar uma instalação governamental ou militar conhecida, achar um treino que foi rastreado lá e então explorar os outros treinos do usuário. As probabilidades são de que o usuário já treinou em casa ou perto dela no passado.
Esses poucos pontos de dados permitiram que os pesquisadores identificassem mais de 6.400 usuários que, acredita-se, trabalhavam em locais sensíveis. Segundo o ZDNet, os pesquisadores teriam encontrado funcionários da NSA, da Casa Branca, da agência de inteligência britânica MI6, da russa GRU, entre outras. Esses dados também foram usados para identificar equipes em instalações de armazenamento nuclear, silos de mísseis, prisões e locais como a Baía de Guantánamo.
Uma vez que um usuário é exposto por meio da técnica descoberta na investigação, sua localização se torna muito mais interessante e potencialmente reveladora. Por exemplo, os repórteres do De Correspondent conseguiram achar usuários identificados como militares estrangeiros e agentes de inteligência trabalhando perto de locais governamentais delicados nos EUA.
A Polar reconheceu o problema em um comunicado e disse que a situação está sendo resolvido, embora tenha minimizado a seriedade potencial da exposição de dados:
É importante entender que a Polar não vazou nenhum dado, e não houve violação de dados privados. Atualmente, a grande maioria dos clientes da Polar mantém os perfis privados como padrão e as definições de dados das sessões privadas e não são afetados de forma alguma por este caso. Embora a decisão de incluir e compartilhar sessões de treinamento e dados de localização por GPS seja escolha e responsabilidade do cliente, estamos cientes de que locais potencialmente confidenciais estão aparecendo em dados públicos e decidimos suspender temporariamente a API Explore.
Essa não é a primeira vez que um aplicativo fitness expõe acidentalmente informações potencialmente delicadas sobre o governo norte-americano e as forças armadas. No início deste ano, a Strava foi criticada quando foi descoberto que os mapas de calor da empresa, que mostram a atividade dos usuários em todo o mundo, poderiam ser usados para identificar bases militares, incluindo alguns locais que antes eram secretos.
[ZDNet]
Imagem do topo: Getty