Che cosa ci insegna il caso dell’app di fitness Strava

L’utilizzo errato dell’applicazione per il fitness Strava ha rivelato l’esatta locazione geografica di basi militari in tutto il mondo, alcune delle quali non pubblicamente note. Sarebbe bastato settare correttamente l'app per evitare la fuoriuscita di notizie

Più volte si è discusso dell’importanza della sicurezza dei dispositivi dell’internet delle cose, e di come gli Smart Object amplino la nostra superficie di attacco. Il caso che discuteremo a breve è emblematico.

Il caso Strava

La notizia ha fatto rapidamente il giro del mondo, l’utilizzo errato dell’applicazione per il fitness Strava ha rivelato l’esatta locazione geografica di basi militari in tutto il mondo, alcune delle quali non pubblicamente note.
Queste informazioni sono estremamente sensibili e potrebbero essere utilizzate da nemici e terroristi per pianificare un attacco.

Che cosa è successo

Il personale delle forze armate americane e dei suoi alleati ha accidentalmente condiviso online i tracciati dei propri allenamenti registrati con il tracker per il fitness. Ovviamente in molti casi le sessioni di fitness sono state condotte all’interno o in prossimità di basi militari in Paesi di tutto il mondo, tra cui Afghanistan, Iraq e Siria.

Questa perdita di informazioni è avvenuta perché il personale militare ha attivato il proprio tracker durante l’allenamento, non consapevole che i dati sono collezionati da una applicazione che li rende disponibili online a tutta la comunità di utenti Strava attraverso un una mappa.
Per un occhio attento è facile individuare le basi presenti in regioni come Siria ed Iraq, in queste zone la mappa è completamente buia ad eccezione delle basi dove i militari usano il dispositivo per il fitness.

L’elenco delle basi facile da localizzare grazie alla mappa associata al fitness tracker Strava comprende Taji a nord di Baghdad, Qayyarah a sud di Mosul, Speicher vicino a Tikrit e Al-Asad nella provincia di Anbar e una serie di siti minori evidenziati nel nord e nell’ovest Iraq.
Cercando basi in Afghanistan, è facile localizzare il campo aereo di Bagram nel nord di Kabul insieme ad altri siti minori a sud del paese.

 

I movimenti di soldati all'interno della base aerea di Bagram - la più grande struttura militare americana in Afghanistan - (Fonte BBC)

Allo stesso modo, in Siria è chiaramente visibile la base di Qamishli nel nord-ovest, una roccaforte delle forze curde alleate degli Stati Uniti.
Tobias Schneider, uno degli esperti di sicurezza che ha scoperto la mappa, ha condiviso i dettagli delle basi su Twitter, inclusa la base francese di Madama in Niger.

L’app utilizzata anche da militari italiani

L’applicazione non è usata solo da militari americani, ma da soldati di tutto il mondo, italiani inclusi.
In un interessante articolo, i giornalisti di Repubblica scrivono dopo aver consultato i profili Strava dei soldati italiani che risulta siano, o siano stati, in zone di guerra, e talvolta in basi non note li hanno contattati. Si tratta proprio dei loro tracciati e molti ne erano ancora all’oscuro!

Parliamo quindi di soldati di stanza in Afghanistan e in Iraq, alcuni di loro una volta rientrati proseguono i propri esercizi vicino casa, ovviamente sempre tracciati e quindi facilmente individuabili come militari di rientro dalle missioni in aree di crisi.
“Nella base di Erbil per esempio i tracciati della Heat Map sono molto fitti, e nella mappa social si trovano interi elenchi di militari in missione con la passione per la corsa, e per Strava”.  Riporta Repubblica.

“Un altro elenco però si trova riferito a un sito iracheno che in altre mappe satellitari appare deserto, e non è perciò chiaro cosa possa essere. Uno dei nominativi era lì a ottobre 2017 e ci è rimasto fino a dieci giorni fa, lo dice il lungo elenco di corse al quale è associato. In questi giorni sta correndo vicino casa, nel Nord Italia.”

 

Tracciato Italiano in Iraq (Fonte La Repubblica)

 

Come si risolve la questione

La buona notizia è che questo problema potrebbe essere facilmente risolto, Strava ha confermato che i dati di coloro che attivano l’opzione “Metro/heatmap opt-out” non sono tracciati.
L’applicazione infatti mette a disposizione degli utenti una funzionalità che consente di disegnare sulla mappa delle aree dette “zone di privacy” in cui i dati di posizione non sono raccolti, tipicamente luogo di lavoro, casa … o luogo con cui ci si incontra con l’amante.
Configurando opportunamente queste aree nell’intorno delle basi si sarebbe evitata questa grave fuga di notizie.
Meditate …
Alla prossima.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter