Brecha em app fitness revela dados de militares e funcionários de inteligência

Por Felipe Demartini | 11 de Julho de 2018 às 15h54

Mais um vazamento de informações que deveriam ser confidenciais veio à tona por meio de um aplicativo de rastreamento de exercícios. A bola da vez é o Polar Flow, um software que registra as rotas feitas pelo usuário durante a prática de corrida e outras atividades, e que, por meio de uma brecha de segurança, acabou revelando tais informações para todos. No total, mais de 30 milhões de perfis foram afetados em todo o mundo.

A falha permitia que, por meio de uma simples alteração na URL digitada em um navegador, qualquer pessoa tivesse acesso aos históricos de corrida dos usuários do app, mesmo que eles tivessem desativado o compartilhamento de tais dados. Esse é o caso, por exemplo, de funcionários de setores militares e agências de inteligência, que viram não apenas seus endereços residenciais vazando, mas também seus locais de trabalho, muitas vezes confidenciais.

O Polar Flow possui um recurso que permite o compartilhamento das rotas em um mapa global, desde que, claro, o usuário escolha realizar essa exibição publicamente. No caso de riscos para a segurança nacional, como os citados, essa funcionalidade não deveria acontecer, mas o aplicativo, ainda assim, continuava registrando os dados para que os próprios utilizadores tivessem acesso a eles.

Assista Agora: Descubra o jeito certo de criar verdadeiros times de alta-performance e ter a empresa inteira focada em uma única direção.

Os problemas estavam localizados na API do aplicativo, desenvolvido por uma empresa finlandesa chamada Polar, e permitiam também a visualização de rotas históricas, com registros que datavam até 2014. Por meio do cruzamento de tais informações com registros públicos, por exemplo, usuários maliciosos poderiam encontrar os nomes dos oficiais cujas rotas estão sendo mapeadas, outra questão que poderia levantar graves riscos de segurança no caso de espiões ou operadores de missões confidenciais.

Mapa mostra rotas de exercícios seguidas por funcionário da NSA, um dos principais centros de inteligência dos EUA (Imagem: Reprodução/De Correspondent)

Uma análise feita pelo jornal holandês De Correspondent, por exemplo, revelou que pelo menos 6,4 mil usuários de setores militares ou de segurança tiveram suas informações comprometidas desta maneira. Os principais registros vieram de localizações reconhecidas como a Casa Branca, a prisão de Guantánamo, em Cuba, mas operada pelo governo americano, e também as sedes da NSA e do MI6, os principais centros de inteligência dos EUA e Reino Unido, respectivamente. Prisões, centros de treinamento e unidades de armazenamento de mísseis e armas nucleares também podiam ser descobertos pelo método.

Em declaração sobre o caso, a Polar reconheceu a falha de segurança e disse que a maioria de seus usuários não foi afetada pela falha, justamente por manterem privado o compartilhamento de informações sobre seus exercícios. Além disso, a companhia disse que suspendeu o acesso à suas APIs públicas de forma a conter a falha e evitar que mais dados sigilosos acabem vazando.

O caso remete a uma brecha de segurança semelhante, ocorrida em novembro do ano passado, quando o aplicativo de exercícios Strava liberou um mapa global das atividades de seus usuários. Por mais que os dados de cada um deles tenha sido exibido de maneira anônima, a combinação das informações exibidas permitiu observar, pelas rotas repetitivas, onde ficam bases militares localizadas em zonas de conflito e outros locais confidenciais, que começaram a aparecer nos registros de corrida e prática de exercícios.

A ideia da Strava com o recurso era evidenciar o uso de seu aplicativo em rotas famosas, como o Caminho de Santiago ou as rotas ciclísticas do Tour de France. Elas podiam, sim, ser visualizadas, assim como a localização de postos militares no Afeganistão e Síria, além de parte do layout interno da Área 51, nos Estados Unidos. Em resposta ao incidente, a empresa removeu as localizações sensíveis do mapa.

Fonte: ZDNet

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.