Мобильное приложение раскрыло секретную информацию об израильских военных базах

Н., высокопоставленный сотрудник министерства обороны, каждое утро обязательно пробегает десять километров. Обычно он бегает рядом с домом, но не отказывается от пробежки и в командировках, в том числе заграничных, даже если его отправляют туда с секретной миссией.

Он работает на базе ВВС Израиля, и если остается ночевать на работе, то делает пробежку там. Н. – один из почти сотни сотрудников министерства обороны, ЦАХАЛа и спецслужб, чьи личные данные, а заодно и координаты нескольких секретных военных объектов, были похищены. Это произошло из-за недоработок в системе конфиденциальности мобильного приложения Strava для любителей бега.

Расследователи из организации FakeReporter обнаружили, что некто, подключившийся через фиктивный аккаунт, воспользовался лазейкой в системе безопасности ​​приложения Strava для создания базы данных, включающей штаб-квартиру «Моссада», а также базы ВВС и разведки. Таким образом он смог собрать имена, фотографии и другие идентификационные данные военнослужащих, сотрудников силовых ведомств и других высокопоставленных чиновников, которые используют приложение для тренировок на этих базах.

Strava выпустила новые настройки конфиденциальности, которые позволяют пользователям скрывать свой профиль. Это было сделано после нескольких случаев злоупотреблений, когда информация из профиля использовалась не по назначению, а, например, для харрасмента или других преступлений на сексуальной почве.


В прошлом корреспондент «ХаАрец» Хаим Левинсон опубликовал материал о том, как неосторожное использование мобильного приложения раскрыло личность высокопоставленного сотрудника израильской разведки, а также биллинги его поездок за границу, в том числе в страны Африки, с которыми у Израиля нет дипломатических отношений.

Сегодняшняя история показала, что новые настройки конфиденциальности можно обойти, используя функции, представленные приложением Strava. Первая представляет собой карту, показывающую популярные зоны бега человека, вторая позволяет видеть время бега других пользователей на той же местности как бы для «соревнования» с другими по времени.

Расследователи FakeReporter загрузили в приложение поддельную информацию о беговых локациях, получив таким образом доступ к информации других бегунов, а также обнаружили, что такая операция в прошлом уже проделывалась с фиктивного аккаунта. По словам расследователей, если кто-то знает, где расположены военные базы, он может ввести их локацию в приложение как места своих пробежек. И получить список всех пользователей, которые там бегали в прошлом, используя Strava. При этом можно просмотреть данные профилей этих людей, даже если они сделали их закрытыми. Доступ к профилям также позволяет отследить старые маршруты, по которым они бегали в прошлом, так что можно реконструировать всю их военную карьеру.

Расследование показало, что пользователь с ником Ez Shl загрузил в приложение фиктивную информацию, согласно которой он совершает пробежки непременно в таких местах, как Глилот и некоторые базы ВВС. По мнению расследователей, это похоже на фиктивный аккаунт. Это подкрепляется указанием некоторых маршрутов длиной в несколько километров и хронометражем бега в ноль секунд.

Кроме того, все указанные этим пользователем маршруты пробежек находятся на секретных военных объектах. Судя по всему, ему удалось найти данные около ста израильтян, которые бегают или бегали в прошлом на этих объектах, хотели их получить в прошлом и настоящем. Ez Shl систематизировал найденные данные и даже присвоил названия некоторым наиболее важным объектам. Например, один из объектов он назвал «mos1», что обозначает штаб-квартиру «Моссада».

Тот факт, что злоумышленник смог использовать программное обеспечение для сбора информации об израильтянах, работающих в системе безопасности, является еще одной иллюстрацией феноменальных возможностей OSINT – сбора разведывательной информации из открытых источников.

Расследователи объясняют, что это провал в системе оперативной безопасности Израиля. Среди раскрытых данных личности сотрудников силовых ведомств, местонахождение баз ВВС, такие как Рамат-Давид и Пальмахим, баз разведслужб в Глилоте и в районе Иерусалима, а также ядерный реактор в Димоне. Министерство обороны и компания Strava получили все результаты расследования до его публикации, и фиктивный аккаунт, которому, как предполагается, удалось воспользоваться лазейкой в системе безопасности, был удален.

Компания заявила, что знает о проблеме и относится к ней «со всей серьезностью», что «все претензии будут рассмотрены, и будут приняты все меры для решения проблем», о которых говорится в расследовании. Пресс-служба ЦАХАЛа сообщила: «Армии и всем ее подразделениям известно об угрозах, связанных с интернетом и мобильными технологиями. Для противодействия угрозам, в том числе по следам таких инцидентов, как указанный в расследовании, регулярно обновляются директивы безопасности для всех военнослужащих. Директивы рассылают всем, кто работает на секретных объектах или связан с секретной деятельностью».

Омер Бен-Яаков, «ХаАрец». Фото: Depositphotos.com

Метки:


Читайте также