| 编译 | Rik,王宇欣 作者 | Alex Hern 来源 | The Guardian
一家运动记录公司,居然泄露了全球军事基地与间谍前哨的位置和人员配备等敏感信息。
这家公司名叫 Strava,其同名 app 可以让人们记录并分享自己的锻炼情况。在 Strava 推出的一款数据可视化地图中,显示了用户定位过的所有活动情况。 
洛杉矶的热力图
这张地图于 2017 年 11 月发布,可以显示每一个被上传到 Strava 的活动——据该公司称,这些活动包括了超 3 万亿个个人 GPS 数据点。Strava 可以被安在各种设备上,无论是智能手机还是像 Fitbit 这类智能手环,用户可以通过它来浏览各大城市的主流跑步路线,或是在较偏远地区定位到处于异常运动模式的个人。
「格外」强大的新版本
Strava 发布的这个热力图是继 2015 年后的一个更新版本,这版 app 宣布,「此更新包括 6 倍于前的数据量——截止到 2017 年 9 月的所有 Strava 数据,共计 10 亿次活动。我们的全球热力图是最大、最丰富且最美丽的地图数据集。它将 Strava 的全球运动网络进行了一种直观的可视化呈现。」
Strava 表明,新版热力图细节详实,甚至足以看清墨西哥海岸的风筝冲浪路径、追踪横跨北西班牙的 Camino de Santiago 朝圣之路、看清铁人三项全能比赛在科纳和夏威夷的海上路线。甚至,还包括内华达州沙漠火人节的布局图。「火人跃入式城市的独特五边形布局,被永远地蚀刻进了热力图,这要感谢所有使用 Strava 进行探索的跑者和自行车手们,」该公司写道。
火人节只存在一瞬的「城市」
然而,军事分析家在上周末注意到,这款地图详细到了可能会将某些 Strava 用户极其敏感的信息泄露出去的程度,而这些用户包括,现役军人们。
Nathan Ruser 是美国冲突分析研究所的一名分析师,他首先注意到了这个失误。热力图「看起来很漂亮」,他写道,但「Op-Sec 做得不好」——Op-Sec 是「作战安全」的缩写。「美军基地可以被清楚地识别和定位。」
「如果士兵像普通人那样使用这一 app,在运动时打开跟踪功能,那么这就特别危险了,」Ruser 补充说,同时圈出了一条轨道,称其看起来「像是记录了一条有规律的慢跑路线。」
「在叙利亚,(美军)联盟基地被很多用户定位追踪过,基地在黑色的背景上熠熠闪光,」分析师 Tobias Schneider 写道,「也有一些光标标记出了已知的俄罗斯基地,伊朗的基地没有明显的标记……看来不少人周一早上要听训了。」
在阿富汗、吉布提和叙利亚等地,Strava 用户群看起来几乎完全被外国军事人员所占领,使得这些基地看起来格外亮眼。例如,在阿富汗赫尔曼德省,前方作战基地的位置清晰可见,在黑地图背景上闪着白光。
阿富汗赫尔曼德省
对一个较大的基地进行放大,可以清楚地看到其内部布局,这是由许多士兵的慢跑追踪路线绘制出来的。该基地本身在谷歌地图和苹果地图等商业供应商的卫星视图中是不可见的,但在 Strava 上却清晰可见。
美军某海外基地「路线详图」
在直接冲突区之外,仍然能够收集到潜在的敏感信息。例如在一张内华达州 Homey 机场的地图中,该地是美国的空军基地,俗称为 51 区(Area 51),记录了一辆自行车的行车轨迹,从该基地出发沿着格鲁姆湖西侧驶去,在热力图中显示为一条红色细线。
51 区,与一条孤独的自行车轨迹
福克兰群岛上的 RAF Mount Pleasant 英国皇家空军基地在热力图上灯火通明,反映出了那里的数千名英国军人的运动情况——位于 Lake Macphee 和 Gull Island Pond 旁的水域,显然是很受欢迎的游泳场所。
福克兰群岛上的 RAF Mount Pleasant 英国皇家空军基地
未能幸免的情报机构
随着安全分析人员不断对深挖系统,在 Strava 热力图上已知的敏感机构的数量不断上升。
朝鲜平壤,一条非常受欢迎的河边跑道正熠熠生辉—市中心以东的纹绣洞附近,英国、德国、波兰和捷克大使馆所在的使馆区也是如此。
在东非的吉布提城外,美国驻扎的 Lemonnier 营房清晰可见。这个通常负责发动对也门和索马里等地区的无人机攻击的美国海军远征基地,就这么被数千美国服役士兵们的锻炼记录标记了出来。但是,在 Lemonnier 营的西南部,还有一处也被高亮出来的较小的基地,这个基地在地图上没有任何标记,但是被其居住者的跑步路径框出了外墙。这个大院似乎是中情局的一个「暗桩」,这个猜想是由分析家 Markus Ranum 一周前提出的,现在得到了热力图的证实。 
Lemonnier 营(右上),以及位于吉布提的一个疑似中情局基地(左下)
位于英格兰切尔滕纳姆的英国政府通信总部(GCHQ)也是一个极度敏感的地点,如今也被纵横交错的 GPS 活动线所圈出来了,我们可以清晰地观察到特工和情报分析人员正在记录他们的通勤或午餐时间进行的运动:
位于英格兰切尔滕纳姆的英国政府通信总部
位于弗吉尼亚州兰利的中央情报局总部周围也有类似的活动:
位于弗吉尼亚州兰利的乔治布什情报中心
军事安全规定的百密一疏
受到这一系列「发现」的影响,美国军方正在考虑禁止健身追踪器,预防未来可能发生的一些泄露事件。除了军事基地的位置,如果单个服役人员使用默认隐私设置的服务的话,他们的身份也会被暴露出来,
「全球热力图」以聚合形式显示了所有上传到应用程序的公共活动。在一些主要城市,热力图点亮了最具人气的跑步线路,但是在交通不便的地图,它可以突出显示运动人群的密集活动范围—比如在海外服役的现役军人的。
Strava 在一份声明中表示:「我们的全球热力图是对上传到我们平台总计 10 亿多次的活动进行汇总和匿名分析得出的结果。已经排除了那些被标记为隐私的活动或是用户自己定义的隐私区域。」
该公司表示,「我们致力于帮助人们更好地理解我们的设置,让用户自己控制他们希望共享的内容,」Strava 分享了一篇 2017 年的博客文章,其中详细介绍了用户可以取消分享的 8 种方式,包括在一个设置页面中取消一个选中框从而可以退出全球热力图。
Strava 补充说:「我们非常认真地对待自己社区的安全问题,并致力于和军方、政府官员在可能出现问题的涉密领域合作。」
虽然热力图仅仅显示汇总信息,但 Strava 自己的网站允许用户深入追踪每条跑步记录,比如查找个人的姓名,甚至他们实现本线路个人最佳纪录的时间。
在军事基地附近进行这类搜索时,得到的信息可能会非常敏感,例如,阿富汗空军基地外 600 米跑道的成绩榜单显示了驻扎在那里的 50 多名服役人员的全名以及他们跑步的日期。其中一名选手在今年 1 月 20 日获得个人最好成绩,这意味着他现在几乎一定还驻扎在那里。
作为美国空军无人机的中转站的吉布提 Chabelley 机场内,共有三名跑步者跑完过一条长达 7 公里的跑道—其中两名在 2014 年 12 月份完成,还有一名则是在 2 年之后的 2016 年 8 月完成。三人中至少有一个人已经不再驻扎在那里了:情况显示,他在 2016 年转去了德国的一个空军基地。
五角大楼周一表示,正在对是否需要加强安全协议进行审查。「国防部非常重视此类事情,并正在审查有关情况,以确定是否需要额外的培训或是规范,」五角大楼在声明中如是说道,并未直接确认是否有美军士兵使用了运动追踪器。
澳大利亚联合报的一份报告显示,澳大利亚军方表示正在考虑采取行动预防未来可能出现的安全漏洞。澳大利亚国防协会发言人 Neil James 说,任何记录和传输数据的设备都应该在执行军事行动的时候被放在家中。Neil James 对澳大利亚联合报表示,「就像在第二次世界大战中,想要保持安全,你需要做的就是检查所有人员的信件,确保他们不会在信中告诉家里的某个人他们做的那些本不应该做的事情,」
美国海军陆战队从 2016 年开始就有了使用「个人可穿戴健身设备」的明确政策。「如果设备含有蜂窝技术(一种无线通信技术)或者无线网络、摄影、视频捕捉/录制、麦克风或录音功能,一律禁止使用。」政策指出「仅仅禁用蜂窝、摄像机或是视频功能是不够的。」
但是,如果设备不包含上述功能,则确实可以使用。政策还明确提到,在基地可以使用具备蓝牙连接和 GPS 追踪功能的设备,并且没有明令禁止使用者上传此类信息。而使 Strava 等应用能够创建个性化的历史活动地图的,正是蓝牙与 GPS 功能。 ]]> 原文: http://ift.tt/2rVAjrx | 
