Los usuarios de Shadowy Strava espían al ejército israelí con rutas falsas en las bases | Espionaje

Agentes no identificados han estado utilizando la aplicación de seguimiento de estado físico Strava para espiar a miembros del ejército israelí, rastreando sus movimientos a través de bases secretas en todo el país y observándolos potencialmente mientras viajan por el mundo en asuntos oficiales.

Al colocar “segmentos” de ejecución falsos dentro de las bases militares, la operación, cuya afiliación no ha sido descubierta, pudo controlar a las personas que hacían ejercicio en las bases, incluso a aquellas que habían aplicado la configuración de privacidad de cuenta más fuerte posible.

En un ejemplo visto por The Guardian, un usuario que se ejecuta en una base de alto secreto que se cree que tiene vínculos con el programa nuclear israelí podría ser rastreado a través de otras bases militares y hasta un país extranjero.

La campaña de vigilancia fue descubierta por el equipo de inteligencia de código abierto israelí FakeReporter. El director ejecutivo del grupo, Achiya Schatz, dijo: “Nos pusimos en contacto con las fuerzas de seguridad israelíes tan pronto como nos enteramos de esta brecha de seguridad. Después de recibir la aprobación de las fuerzas de seguridad para proceder, FakeReporter se puso en contacto con Strava y formaron un equipo de alto nivel para abordar el problema”.

Las herramientas de seguimiento de Strava están diseñadas para permitir que cualquier persona defina y compita en “segmentos”, secciones cortas de una carrera o un paseo en bicicleta que se pueden correr regularmente, como una larga subida cuesta arriba en una ruta ciclista popular o un circuito único de un parque. Los usuarios pueden definir un segmento después de cargarlo desde la aplicación de Strava, pero también pueden cargar grabaciones de GPS de otros productos o servicios.

Pero Strava no tiene forma de rastrear si esas cargas de GPS son legítimas y permite que cualquier persona defina un segmento al cargar, incluso si no han estado en el lugar que están rastreando. De hecho, algunos segmentos cargados son claramente generados artificialmente, con ritmos promedio de cientos de kilómetros por hora, líneas rectas antinaturales y saltos verticales instantáneos desde lo alto de los acantilados, todo registrado.

Es posible que algunas de esas cargas falsas se hayan utilizado con el fin de hacer trampa en competiciones amistosas o configurar un segmento para guiar a otros: pero al menos un conjunto parece tener un propósito más malicioso. Un usuario anónimo, con su ubicación dada como “Boston, Massachusetts”, había establecido una serie de segmentos falsos en varios establecimientos militares en Israel, incluidos puestos de avanzada de las agencias de inteligencia del país y bases de alta seguridad que se cree que están asociadas con su arma nuclear. programa.

“Al explotar la capacidad de cargar archivos diseñados, revelando los detalles de los usuarios en cualquier parte del mundo, los elementos hostiles han dado un paso alarmante más cerca de explotar una aplicación popular para dañar la seguridad de los ciudadanos y los países por igual”, dijo Schatz.

El enfoque del segmento falso también pasa por alto algunas de las configuraciones de privacidad de Strava. Los usuarios pueden configurar sus perfiles para que solo sean visibles para los “seguidores”, lo que evita que miradas indiscretas sigan sus movimientos a lo largo del tiempo. Pero a menos que también establezcan que cada carrera individual esté protegida activamente, entonces su foto de perfil, nombre e inicial aparecerán en los segmentos que hayan corrido, en el espíritu de competencia amistosa. Con suficientes segmentos dispersos por el mapa, aún se pueden identificar a las personas: un usuario, por ejemplo, rastreó su participación en una carrera públicamente reportada, que ganó, además de correr en establecimientos militares seguros.

En un comunicado, la compañía de fitness dijo: “Nos tomamos muy en serio los asuntos de privacidad y un grupo israelí, FakeReporter, nos ha informado sobre un problema de segmento relacionado con una cuenta de usuario específica y hemos tomado las medidas necesarias para remediar esta situación.

Regístrese en First Edition, nuestro boletín diario gratuito, todas las mañanas de lunes a viernes a las 7 a. m. BST.

“Proporcionamos información de fácil acceso sobre cómo se comparte la información en Strava y le damos a cada atleta la capacidad de hacer sus propias selecciones de privacidad. Para obtener más información sobre todos nuestros controles de privacidad, visite nuestro centro de privacidad, ya que recomendamos que todos los atletas se tomen el tiempo para asegurarse de que sus selecciones en Strava representen su experiencia prevista”.

El descubrimiento tiene ecos de un escándalo de 2018 cuando una nueva función de Strava publicó una visualización de toda la actividad en la plataforma de seguimiento del estado físico en todo el mundo. El mapa de calor mostraba rutas populares para correr, andar en bicicleta y nadar, y un anuncio de Strava destacó que podría usarse para detectar ubicaciones como la ruta del triatlón Ironman en Hawái. Pero también estableció rutas que eran menos públicas: la ubicación y el diseño de múltiples bases militares en la provincia de Helmand, Afganistán, eran claramente visibles, al igual que un lugar popular para nadar al aire libre junto a RAF Mount Pleasant en las Islas Malvinas. El mapa incluso registró la ruta de un ciclista solitario en el Área 51, Nevada.

La respuesta de Strava al alboroto fue aconsejar a los usuarios militares que optaran por no participar en su visualización, argumentando que los usuarios que la cargaron hicieron pública la información. En un eco de la última vulnerabilidad de privacidad, se rastreó a algunos usuarios con detalles alarmantes: se pudo rastrear a un miembro del servicio de la fuerza aérea de los EE. transferido en 2016.

Leave a Comment