Личные данные и секретная информация израильских военных были похищены через мобильное приложение

Мобильное приложение выдавало секретную информацию об израильских военных базах.

Н., высокопоставленный сотрудник министерства обороны, каждое утро бегает около 10 километров. Пробежки военный совершает и дома, и в заграничных командировках, и на базе ВВС Израиля, где работает.

Он оказался одним из почти сотни сотрудников министерства обороны, ЦАХАЛа и спецслужб, чьи личные данные и координаты нескольких секретных военных объектов были похищены. Причина - недоработки в системе конфиденциальности мобильного приложения Strava для любителей бега.

Расследователи из организации FakeReporter нашли, что злоумышленник подключился через фиктивный аккаунт и воспользовался лазейкой в системе безопасности ​​приложения Strava. И создал базу данных, включающую штаб-квартиру «Моссада», базы ВВС и разведки. Были собраны личные данные и фото военнослужащих, сотрудников силовых ведомств и других высокопоставленных чиновников, использующих приложение для тренировок на этих базах.

Оказывается, настройки конфиденциальности можно обойти, используя функции, представленные приложением Strava. Это карта, показывающая популярные зоны бега человека, и расширение, позволяющее видеть время бега других пользователей на той же местности как бы для «соревнования» с другими по времени.

То есть, если кто-то знает, где расположены военные базы, то он может ввести их локацию в приложение как места своих пробежек. И получить список всех пользователей, которые там бегали в прошлом, используя Strava. Также можно просмотреть данные профилей этих людей, даже если они сделали их закрытыми,  отследить их старые маршруты бега, таким образом реконструировав всю их военную карьеру.

Так расследователи нашли в приложении фиктивный аккаунт Ez Shl, который был связан только с пробежками вблизи секретных военных объектов.

Тот факт, что злоумышленник смог использовать программное обеспечение для сбора информации об израильтянах, работающих в системе безопасности, является еще одной иллюстрацией феноменальных возможностей OSINT – сбора разведывательной информации из открытых источников.

Расследователи объясняют, что это провал в системе оперативной безопасности Израиля. Раскрыты данные личностей сотрудников силовых ведомств, местонахождение баз ВВС, такие как Рамат-Давид и Пальмахим, баз разведслужб в Глилоте и в районе Иерусалима, а также ядерный реактор в Димоне.

Министерство обороны и компания Strava получили все результаты расследования до его публикации, и фиктивный аккаунт был удален.

Компания заявила, что «все претензии рассмотрят и примут меры для решения проблем», о которых говорится в расследовании.

Пресс-служба ЦАХАЛа сообщила: «Армии и всем ее подразделениям известно об угрозах, связанных с интернетом и мобильными технологиями. Для противодействия им регулярно обновляются директивы безопасности для всех военнослужащих. Директивы рассылают всем, кто работает на секретных объектах или связан с секретной деятельностью».