Безпека додатків – велика проблема не тільки для України
Цікавий кейс оприлюднило французьке видання Le Monde.
Є такий додаток Strava: якщо ви полюбляєте побігати або кататися на веліку і ділитися своїми результатами та досягненнями, то встановлюєте цей додаток, реєструєтеся в ньому і після кожної пробіжки бачите маршрут, швидкість, пройдену дистанцію тощо. Можна також бачити такі ж дані інших бігунів/велосипедистів.
Така собі соціальна мережа для спортсменів: можна «лайкати» інших учасників, домовлятися про групові забіги, коментувати, викладати фото з маршруту тощо.
Поколупавшися у цьому сервісі, журналісти вирахували десятки охоронців Джо Байдена, Джилл Байден, Барака Обами, Емануеля Макрона, Мелані Трамп, самого Дональда Трампа, Майка Пенса, Камали Харріс і навіть виявили шість бодігардів російського диктатора путіна (при тому що у березні 2022 року Strava припинила роботу сервісу на росії та білорусі 🙂 .
То як вдалося отримати таку засекречену інформацію? Насправді ніякої магії та ніяких супер-хацкерів.
Спочатку співставили маршрути 70 офіційних візитів Джо Байдена за кілька років із даними пробіжок зі Strava у ці ж дні в районах мешкання офіційної делегації. Таким чином у Strava було ідентифіковано 150 агентів.
Із них список звузили до 26, щодо яких не було ніяких сумнівів, що вони входять до складу охорони Президента США. Тому що охоронці президента завжди слідують за ним. А як тільки профілі агентів Секретної Служби США стають публічними, вони перестають бути секретними.
Але як дізналися, що саме ці юзери Strava таки є агентами?
А тут ще простіше: попри реєстрацію у Strava під вигаданими іменами, справжні імена користувачів також можна побачити – і це продемонстровано у відео.
А маючи ім’я, можна його погуглити. І знайти акаунти у соцмережах, де ті ж люди зі Strava фотографуються біля Білого Дому або навіть безпосередньо з Джо Байденом. І разом із сім’ями: з дружинами, з дітьми. А далі, знаючи, що цей акаунт Strava належить агенту охорони Президента США, можна знайти адресу мешкання його та його сім’ї: просто по маршрутах пробіжок. Бо люди майже завжди вибігають із дому і повертаються – о диво! – туди ж.
І цей метод спрацював майже по всіх 26 акаунтах Strava, ідентифікованих як «охоронці Президента США». Та ще й вирахували місця, де бодігарди з родинами проводять відпустки.
Як може таку інформацію використати недружня спецслужба, можна легко здогадатися. Охоронця Президента можна залякувати, підкупляти, шантажувати, викрадати його родину, шукати компромат чи створювати провокаційні ситуації – варіантів безліч. Щоб примусити його зливати інформацію або іншим чином сприяти ворожій діяльності – аж до замаху на політика №1 у Світі.
Скоріше за все, подібні спортивні додатки та відповідні OSINT-інструменти вже давно використовуються провідними спецслужбами.
Але у мене виникає два ключових питання.
Перше: як так вийшло, що додаток видає будь-кому реальні імена користувачів замість нікнеймів? Навіщо тоді нікнейми? Як там стосовно конфіденційності та безпеки персональних даних?
І головне питання: а нахіба агенту US Secret Service реєструватися у Strava під своїм, бляха, реальним ім’ям?! От мізки є у чуваків? Так, під час роботи їм заборонено використовувати приватні девайси. Але ж і після роботи ти залишаєшся агентом, хіба це не очевидно?
Перед публікаціє свого розслідування Le Monde надіслала його результати до USSS, і ті дали відповідь, що, типу, розберуться. Але на момент публікації матеріалу 14 із 26 профілів ідентифікованих агентів USSS залишалися публічними. Тепер ніхто не дивується останнім провтикам цієї організації?
Але ж я розказав цю історію не тільки тому, що вона цікава, з неї також можна зробити кілька важливих висновків:
1. Безпека додатків залишається великою проблемою не тільки для України. Ідіотів скрізь вистачає.
2. Досить часто вразливості системи знаходять у зовсім неочікуваних місцях. Захищаєшся від одного, а хакають тебе через зовсім інше, про яке й не думав.
3. Цілком легітимні та начебто безпечні функції з персональними даними можна використати на шкоду як самим користувачам, так і їхньому оточенню. Привіт, Резерв+Дія.
4. У сучасному все більш цифровізованому світі все важче залишатися анонімним, особливо зі швидким розвитком різноманітних OSINT-інструментів.
5. Відповідно, зі зростанням інформатизованості суспільства підвищується роль особистої кібербезпеки та необхідність її не тільки вивчати, але й активно застосовувати у повсякденному житті. Усім – і солдатам, і президентам.
Бо деякі дурачки досі вважають, що «роль кібербезпеки дещо перебільшена».
