Strava, онлайн-сервіс для спортсменів, викрив конфіденційну інформацію про військових і співробітників розвідки, зберігаючи та розкриваючи дані про тренування своїх клієнтів. Про це повідомляє ізраїльська газета Haaretz з посиланням на портал FakeReporter. Карти з маршрутами та часом бігу були доступні для всіх через об’їзди.
Уразливість програми Strava, яку виявила ізраїльська дослідницька група з відкритим кодом FakeReporter, також розкрила низку дуже конфіденційних місць в Ізраїлі, включаючи точні місця розташування армійських і військово-повітряних баз, штаб-квартири Моссада та баз військової розвідки.
За допомогою кількох хитрощів вдалося знайти сегменти треків в ізраїльських військових і спецслужбах на Strava та отримати особисті дані близько 100 осіб. Страва не мала достатнього захисту від цього. Користувачі не змогли запобігти цьому навіть за найсуворіших налаштувань конфіденційності.
Прогалина в конфіденційності Strava
«Порушення конфіденційності Strava є яскравим прикладом того, як кіберзлочинці використовують, здавалося б, нешкідливі програми та інфраструктуру для отримання конфіденційної інформації про інших користувачів. Той факт, що це не перший випадок, коли Strava зазнає критики через таку помилку, є ще більш дивним і показує, що компаніям – незалежно від того, наскільки відомою та популярною може бути їхня платформа – ще потрібно багато працювати, щоб зробити, щоб забезпечити свої послуги. Занадто часто безпека та конфіденційність залишаються позадумом у процесі розробки програмного забезпечення», — сказав Ян МакШейн, віце-президент зі стратегії Arctic Wolf.
Пристрої та носимі пристрої IoT
«З розповсюдженням пристроїв Інтернету речей і переносних пристроїв ризик отримання злочинцями доступу до даних приватних осіб також зростає. Навіть якщо вони припускають, що їхня інформація захищена, а налаштування пристрою чи програми вказують на конфіденційність інформації. Компанії, які розробляють і продають ці пристрої, несуть відповідальність за покращення безпеки. Вони повинні гарантувати, що злочинці не зможуть використовувати прості трюки, такі як маніпулювання біговим пристроєм, що відстежується GPS, щоб отримати доступ до особистих даних, які потім можуть бути використані для фішингових кампаній або навіть більш сумнівних дій».
Більше на ArcticWolf.com
Про Арктичного вовка Arctic Wolf є світовим лідером у сфері операцій безпеки, надаючи першу хмарну платформу операцій безпеки для зменшення кіберризиків. На основі даних телеметрії про загрози, що охоплюють кінцеві точки, мережі та хмарні джерела, Arctic Wolf® Security Operations Cloud аналізує понад 1,6 трильйона подій безпеки на тиждень у всьому світі. Він надає важливу для компанії інформацію про майже всі випадки використання безпеки та оптимізує неоднорідні рішення безпеки клієнтів. Платформу Arctic Wolf використовують понад 2.000 клієнтів по всьому світу. Він забезпечує автоматичне виявлення загроз і реагування на них, дозволяючи організаціям будь-якого розміру налаштовувати операції безпеки світового класу одним натисканням кнопки.