חשיפת בסיסי צה"ל באפליקציית הכושר: איך זה קרה?
המיקום שלנו ידוע להרבה מאוד גורמים בעולם הטכנולוגיה. אז למה החשיפה של מיקומי המתאמנים בתוכנת סטראבה היא חמורה כל כך?
הבוקר נחשף על ידי מתכנת ישראלי פעלתן בשם רן בר זיק, שצמידי הכושר של חברות שונות ואף אפליקציות כושר שנמצאים אצל מיליוני משתמשים בעולם וגם בכמות נכבדת מאוד בישראל, חושפים מידע רגיש לגבי מיקומים של בסיסי צבא בעולם וגם בישראל.
חלק גדול ממשתמשי צמידי הכושר ואפליקציות הכושר, ואפשר אף לומר כי רובם המכריע, מאפשר לצמידים ולאפליקציות הללו לדעת ולסמן את מיקומנו בכל מהלך האימון. משתמשים מאפשרים זאת כדי לדעת את מסלולי הריצה שהם עשו, מרחקים, זמנים ועוד מידע שחשוב לכל מתאמן.
למשוואה הבעייתית הזו נכנסה חברת סטראבה, שמפעילה אפליקציית כושר משולבת תכונות של רשת חברתית, שמיועדת לשיתוף של אימונים, תוצאות ומסלולים בין מאות אלפי מתאמנים ברחבי העולם. האפליקציה אוגרת את המידע הזה, כך שכל מי שרוצה לשתף את המידע, מוזמן ויכול לעשות זאת. סטראבה מתחייבת בפני המשתמש שהיא לא תחשוף את הנתונים שלו בפני אחרים ללא אישורו ובאופן כללי היא לא תקשר בין מסלול מסוים לשמו של אדם ספציפי.
הבעיה החלה בנובמבר 2017, כך חושף בר זיק, כאשר סטראבה פרסמה מפת חום אנונימית אשר מציגה את מסלולי הריצה והרכיבה של כל המשתמשים שלה, בעיקר כדי להראות את כמות המתאמנים שמשתמשים ברשת החברתית הזו, וגם כי זה נראה נהדר מבחינה ויזואלית.
סטראבה, למעשה, לא עברה על הכלל שאותו היא הבטיחה לשמור, והיא אינה חושפת את הפעילות הספציפית של כל משתמש, אלא מראה רק תמונה כללית של כל המתאמנים באזורים מסויימים. אבל החלק הבעייתי במיצג היפה לעין הזה הוא שניתן לזהות פעילות רבת משתתפים באזורים נידחים, שבהם אין יישובים, מה שמוביל למסקנה די פשוטה: במקומות נידחים אלו מתאמנים או אפילו רק שוהים כמות גדולה של אנשים. לכן, קיימת סבירות גבוהה למדי שמדובר בבסיס צבאי ואלו סיורים או אימונים של חיילים או אנשי ביטחון אחרים.
בר זיק מצביע על הבעייתיות בכך שלא רק מי שרץ או מתאמן משאיר את סימני הדרך שלו, אלא אף חיילים שמחזיקים באחד מצמידי הכושר הללו והם נמצאים בסיור בבסיס או בסביבתו. בדיקה פשוטה של מפות החום שפרסמה חברת סטראבה מאששת למעשה את העובדה הזו על ידי מציאת מעגלי חום רבים, שצבועים בצבעים בוהקים ונמצאים באזורים מבודדים יחסית בכל מקום בעולם כדי להבין מה בדיוק קורה במקום הזה, כלומר ככל הנראה שמתאמנים שם חיילים ושמדובר בבסיס צבאי.
הבעייתיות במפות החום הללו פורסמה בהרחבה באתרים רבים בעולם וגולשים צייצו ופרסמו תמונות של אזורי חום כאלו במקומות רגישים, שלטענתם מדובר בבסיסים סודיים של חיל האוויר האמריקני, מתקנים של ה-CIA ואפילו סימני סיורים במפעלים בעלי רגישות בטחונית.
אפליקציית "סטרבה" מסרה שניתן בקלות למנוע את החשיפה של אתרים צבאיים רגישים ברחבי העולם על ידי עדכון הגדרות הפרטיות.
מדובר צה"ל נמסר בתגובה: "לאחרונה הופצה בצה"ל מדיניות שימוש בשעונים חכמים, לפיה המשרתים מונחים שלא לשתף מיקום ומידע מסווג באפליקציות מסוג זה וברשתות חברתיות בכלל, וכן כיצד להשתמש בהן באופן בטוח שאינו מסכן את פעילות צה"ל ואת ביטחונם האישי. צה"ל יבחן את האפליקציה וינחה את המשרתים באופן פרטני ככל שיידרש. נציין כי מדובר באפליקציה אזרחית, לה משתמשים שונים ולא רק משרתי צה"ל. המידע באפליקציה הנוגע לבסיסי צה"ל אינו רשמי ואינו מפוקח".