nrk.no

Strava: Slik avslørte vi identiteten til militært personell i krigssoner

Kategorier: Journalistikk,Nettjenester,Sikkerhet & Software

Montage: Henrik Lied/NRKbeta

Strava-appen lot oss «jogge» sammen med militært personell på utenlandsoppdrag. Slik gjorde vi det.

I november publiserte Strava et varmekart som viser hvor i verden deres brukere har trent. Flere medier har avslørt militærbaser rundt om i verden ved hjelp av kartet.

Når vi hørte om denne nyheten tenkte vi at det kartet kunne være enda mer kompromitterende: Hva om vi også kan finne identiteten til de ulike brukerne?

Strava Flyby

Da vi først snakket om denne problematikken, nevnte vår redaktør Marius at Strava har en funksjon som heter Flyby.

Enkelt forklart er Flyby en måte å se hvem andre som har trent i samme område som deg, til samme tid.

Flyby-funksjonen gjør det enkelt å se hvem som har vært i samme område på samme tid. Faksimile: Strava

Dette tenkte vi at det måtte være mulig å utnytte: Hva om vi lager falske GPS-spor i områder hvor det er kjent at norske soldater har oppholdt seg?

Fiktive joggeruter

Ved hjelp av varmekartet fant vi steder i Syria, Irak og Afghanistan som lå litt utenfor allfarvei, og hvor det var usannsynlig at den lokale befolkningen var ivrige Strava-brukere.

Vi tok de aktuelle områdene inn i et GPS-redigeringsverktøy, og laget et fiktivt joggespor som stemte overens med sporene fra varmekartet.

Etter at joggesporene var generert, bygget vi et Python-script som kunne modifisere både joggehastigheten, dato og klokkeslett for når de fiktive joggeturene fant sted. Vi la også inn litt tilfeldighet i hvordan sporet ble generert fra gang til gang.

Et utdrag av Python-scriptet som laget filene som vi lastet opp til Strava.

Vi tok noen ting for gitt, som at soldater flest ikke drar på joggetur midt på dagen i land der temperaturen fort kan stige til over 40 grader. Så de fleste av våre fiktive løpeturer fant sted tidlig på morgenen, eller sent på kvelden.

Til slutt ble dette hundrevis av turer, som vi lastet opp til vår Strava-konto.

Etter at joggesporene var lastet opp, gikk vi manuelt gjennom rutene dag for dag for å sjekke om noen andre Strava-brukere var i samme område på samme tid.

Dette var den litt nitidige og tidskrevende delen av prosessen.

Men den var effektiv:

I løpet av et par timer kartla vi identiteten til over 18 ulike personer fra Norge, Danmark, USA, Frankrike, Nederland, Italia og Storbritannia.

Dette er likevel ingen kritikk av Stravas sikkerhet: Til sitt opprinnelige formål har denne funksjonen stor nytteverdi. Men for mennesker som av ulike årsaker ikke bør kringkaste sine bevegelser, kan det være en god idé å lese om hvordan man endrer på personvernsinnstillingene i Strava.

15 kommentarer

    • Martin Gundersen (NRK) (svar til Jon)

      Ai! Her tenkte vi at det ville være så rolig i kommentarfeltet at vi glemte det ut.

      Vi kommer tilbake sterkere neste gang.

  1. Noen bruker en tjeneste som lagrer (og offentliggjør) GPS-posisjoner og tid, knyttet til deres navn, og NRK klarer å finne frem dette – wow jeg er virkelig imponert. Dette var sannelig dagens ikke-nyhet.

    Svar på denne kommentaren

    • theSwede (svar til Bjørn)

      Det er ikke rocket science det NRKbeta har gjort, men der var vel heller ikke meningen. Problemet er at man med enkle midler kan finne identiteten på norske ( og utenlandske) soldater som i enkelte tilfeller er på hemmelige oppdrag.

  2. Plompeliplomp

    Mye Sur McSurface kommentarer her, men dette var bra. Klart det virker opplagt i dag, men folk bruker alt mye tull uten å tenke seg om. I min bedrift måtte jeg gjøre IKT oppmerksom på at Cortana, mikrofon og kamera fulgte med på alt vi gjorde da vi bytta til Windows 10. De hadde rett og slett ikke endret på de grove personverninnstillingene til Microsoft, i en bedrift som overlever kun på kunnskapsfortrinn. Og det er folk som SKAL vite slikt først. Samtidig vurderer bankene å bytte ut BankID med innlogging via Facebook. Personvern er en evig problemstilling å minne seg på.

    Svar på denne kommentaren

  3. Interessant teknikk!

    Hva med å bruke samme teknikk på Nord-Korea? Jeg ser at det har vært noe aktivitet i Pyongyang, trolig utlendinger og turister. Det er også et årlig marathon.

    Det er likevel andre, interessante spor:

    «North Korea’s nuclear reactor site at Yongbyon does feature something curious: A track that starts, or finishes, on a road just a few hundred meters from the outer security perimeter of the nuclear research site.» – northkoreatech.org/2018/01/29/strava-heat-map-north-korea/

    Hvem kan nå dette være?

    Svar på denne kommentaren

  4. Det jeg ikke helt skjønner med denne saken er at Strava’s Heatmap plutselig blir presentert som noe nytt i mediene – dette kartet har de da hatt i flere år…? (Jeg bruker det selv som et valgbart lag på en liten enkel kartside jeg har liggende på nettet til eget bruk…)

    Jeg bruker selv Strava, og har av og til brukt Flyby-funksjonen for å finne ut hvem det var jeg møtte på min vei på treningsturen. Å manipulere en GPX_fil er jo i prinsippet enkelt, ettersom den er i tekst-format, men jeg hadde aldri tenkt på denne muligheten for å finne ut hvem som har vært hvor til hvilken tid, selv om man ikke har vært i nærheten selv, så NRK Beta’s lille eksperiment viser jo at man bør tenke ganske grundig gjennom hva slags innstillinger man har på sosiale medier om man er opptatt av personvernet sitt.

    På Strava kan man merke treningsturene som «private», og jeg antar at de da ikke vil kunne sees på Flyby-kartet. Men om de er med i Heatmap’et, er visst uklart. Uansett er det ganske bevisstløst av soldater på utenlandsoppdrag å ha vidåpne økter liggende på Strava – og ganske sikkert i strid med reglene de har om bruk av private elektronisk dingser i slik tjeneste!

    Svar på denne kommentaren

  5. Vet dere om NRKs utnytting av Flyby-funksjonen har blitt plukket opp av utenlandske medier?

    Selve plasseringen av baser er i praksis ikke så veldig hemmelig – men hvilke styrker som er hvor kan være mer sensitivt. At NRK har funnet brukernavn gjør etter min mening denne lekkasjen mye mer oppsiktsvekkende enn det som opprinnelig ble rapportert.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Johan P)

      Er per nå ikke klar over om det har blitt plukket opp. Om NRKbeta på noen måte blir nevnt i utlandet kan du gjette at vi vil si ifra om det på en eller annen måte 🙂

Legg igjen en kommentar til Plompeliplomp Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.