(Du11rden) Parece que las agencias gubernamentales y de inteligencia de todo el mundo hicieron poco o nada para cambiar sus políticas de uso personal de la aplicación de ejercicios y rastreadores, ya que por segunda vez este año una violación masiva de datos ha expuesto al público las ubicaciones delicadas y las rutinas diarias del personal del gobierno.
Y como con el mapa interactivo de seguimiento en línea de Strava que apareció en enero pasado, donde detallamos sitios clandestinos en lugares como Siria, Irak y África, incluido, por ejemplo, un “sitio negro” de la CIA en Djibouti, la nueva brecha permite un fácil acceso a los hábitos diarios de millones de usuarios que se remontan a años atrás.
Sin embargo, ahora, en algunos casos, incluso los nombres y direcciones de inteligencia y personal militar pueden ser conocidos.
Esta vez, la aplicación de fitness Polar Flow, creada por una empresa finlandesa con oficinas en Nueva York, se encuentra en el centro de la controversia, después de que una investigación del sitio de noticias holandés De Correspondent confirmara que la aplicación “permite que cualquiera encuentre nombres y direcciones de miles de soldados y agentes secretos”.
Esto incluso puede incluir imágenes de perfil y, a menudo, nombres reales de usuarios compartidos a través de la función “Explorar” públicamente disponible. Los investigadores también descubrieron que es posible acceder a estos datos mediante un error de diseño en la configuración de privacidad.
De Correspondent en realidad demuestra lo que se puede conocer al examinar un rastreador de fitness Polar en particular cerca del aeropuerto internacional de Erbil en Irak. Los resultados, encontrados a través de búsquedas rápidas de código abierto, son sorprendentes:
El hombre —llamémoslo Tom— es un soldado holandés, parte de la Misión de Desarrollo de Capacidades de los Países Bajos en Iraq. El CBM está acampado cerca del aeropuerto de Erbil. Desde 2015, esta base ha sido uno de los lugares clave desde donde se libra la guerra contra el grupo terrorista Estado Islámico.
Se supone que no debemos saber quién es Tom y dónde está estacionado. Y definitivamente no deberíamos saber dónde vive Tom.
Sin embargo, el mapa de seguimiento de actividad en la aplicación de fitness de Polar nos permite ver que muchas de las carreras de Tom comienzan y terminan cerca de un grupo de hogares en una pequeña ciudad en el norte de los Países Bajos. Un poco de Google nos da su dirección exacta. También encontramos los nombres de su esposa e hijos, y fotos.
Aunque, como señalan los periodistas holandeses, exponer las identidades de los agentes de inteligencia es ilegal en los EE.UU. y en muchos países europeos, “encontramos los nombres y las direcciones del personal en las agencias de inteligencia, incluida la Agencia Nacional de Seguridad y el servicio secreto en los Estados Unidos, el GCHQ y MI6 en el Reino Unido, GRU y SVR-RF en Rusia, el DGSE de Francia, y el MIVD en los Países Bajos”.
El sitio de noticias holandés De Correspondent, trabajando con el sitio de análisis de código abierto Bellingcat, produjo mapas infográficos basados en la aplicación Polar, demostrando lo fácil que es ubicar las direcciones de los usuarios a través de la función Polar “Explore”:
“Encontramos los nombres y las direcciones del personal en bases militares, incluida la Bahía de Guantánamo en Cuba, Erbil en Irak, Gao en Mali y bases en Afganistán, Arabia Saudí, Qatar, Chad y Corea del Sur”. De Correspondent dice que esto también incluía “los nombres y direcciones del personal en instalaciones de almacenamiento nuclear, prisiones de máxima seguridad, aeropuertos militares donde se almacenan armas nucleares y bases de drones”.
Desde entonces, otros periodistas han encontrado nombres y direcciones de lo que se cree que son personal de inteligencia y militar en lugares gubernamentales sensibles en los EE.UU. y señalaron que “aunque la existencia de muchas instalaciones gubernamentales es ampliamente conocida, las identidades de sus empleados no”
En el caso de la aplicación Polaris, como explica el sitio tecnológico ZD Net, esto se puede hacer incluso si la configuración del usuario está configurada en “privada”:
Con dos pares de coordenadas dejadas sobre cualquier ubicación sensible o instalación del gobierno, fue posible encontrar los nombres del personal que realiza un seguimiento de sus actividades físicas que datan desde el 2014.
Los reporteros identificaron a más de 6,400 usuarios que se cree que hacen ejercicio en lugares delicados, incluidos la NSA, la Casa Blanca, el MI6 en Londres y el centro de detención de la Bahía de Guantánamo en Cuba, así como personal que trabaja en bases militares extranjeras.
…también descubrieron que podían engañar a la API para recuperar datos de seguimiento de estado físico en perfiles privados.
¿Quién sabe cuántas veces los servicios de inteligencia extranjeros o los grupos terroristas ya han usado esta y posiblemente otras aplicaciones para identificar las ubicaciones exactas que los agentes del gobierno de EE.UU. que operan en el extranjero? Después de que todos los periodistas prueban el sistema en línea, explican lo fácil que fue extraer la información: “Debido a que no había límites en la cantidad de solicitudes que los reporteros podían hacer, junto con números de identificación de usuario fácilmente enumerables, era posible para cualquier persona —incluidos los actores malintencionados o servicios de inteligencia extranjeros— raspar los datos de la actividad física de millones de usuarios”.
Algunos de los ejemplos, nombres retenidos por los periodistas, son los siguientes:
- ZDNet pudo rastrear a una persona que se ejercitó cerca de la sede de la NSA en Ft. Meade. El usuario más tarde comenzó su seguimiento de ejercicio cuando salía de su casa en la vecina Virginia. A través de registros públicos, confirmamos su nombre y su papel como oficial militar de alto rango.
- Otra persona, también se cree que es un miembro de la NSA con base en Ft. Meade fue encontrado haciendo ejercicio cerca del centro de detención de la Bahía de Guantánamo.
- Los reporteros holandeses también encontraron los datos de seguimiento de aptitud de varios militares extranjeros y oficiales de inteligencia cerca de instalaciones sensibles en los Estados Unidos.
- De Correspondent explicó en un informe adicional cuán fácil era seguir a un usuario de Polar, que se cree que es un oficial del servicio de inteligencia del estado holandés, en todo el mundo, e incluso a ubicar la dirección de su hogar.
Desde entonces, Polar ha eliminado su mapa de seguimiento y ha emitido una declaración: “Si bien la decisión de participar y compartir sesiones de capacitación y datos de ubicación GPS es la elección y responsabilidad del cliente, somos conscientes de que están apareciendo ubicaciones potencialmente confidenciales en bases de datos públicas, y hemos tomado la decisión de suspender temporalmente la API Explore” — la compañía publicó en su sitio web.
La Oficina del Director de Inteligencia Nacional (ODNI), que supervisa las 17 agencias de inteligencia de Estados Unidos, emitió la siguiente declaración predecible y algo vaga a ZD Net y dijo que estaba “al tanto de los posibles impactos“ de los dispositivos de ejercicios personales: “El uso de [aplicaciones de] ejercicio y dispositivos similares de las personas que participan en el apoyo del gobierno de los EE.UU. están determinados y dirigidos por cada agencia y departamento”.
En base a esta respuesta oficial de ODNI, que es esencialmente una admisión de que seguiremos haciendo lo que hemos estado haciendo, esperamos que se produzcan infracciones de identidad y de datos clasificados más masivos.
Sin duda alguna, la acción se tomará de forma tardía si se produce el primer “secuestro basado en el rastreador de Fitbit” de un empleado del gobierno.
A continuación, se incluyen algunas de las imágenes de seguimiento de satélite de código abierto que produjo la investigación en varias partes de De Correspondent, basadas en los datos de la aplicación de seguimiento de la aptitud de Polar:
Sede de la Dirección General de Seguridad Exterior (DGSE, agencia de inteligencia extranjera de Francia), París.
Campamento de detención de la Bahía de Guantánamo.
Rutas dirigidas por usuarios de Polar en una base militar en Gao, Mali.
Bagram Airfield, Afganistán
Bellingcat: “Ejercicios rastreados en una base militar en Medio Oriente. Cuadrados rojos con puntos blancos son grupos de muchas más sesiones que comenzaron en ese lugar”. (base aérea en Afganistán)
Adoninas 
Reblogged this on noseasjabali.
LikeLike