Serwis dla piwoszy zagrożeniem dla bezpieczeństwa państwa? Użytkownicy jednego z serwisów internetowych oceniają piwa i wymieniają się uwagami o ich smaku i jakości. Przy okazji mogą pozostawić informacje o lokalizacji miejsc, które odwiedzili. To szczególne zagrożenie dla wojskowych i pracowników służb.

Bellingcat, portal zajmujący się prowadzeniem śledztw na bazie informacji z internetu, donosi o ryzyku związanym z wykorzystaniem serwisu społecznościowego Untappd. Jak piszą dziennikarze, dane geolokalizacyjne, pozostawiane w serwisie przez wojskowych, funkcjonariuszy służb czy urzędników mogą stanowić łakomy kąsek dla wywiadów zbierających informacje o działalności przedstawicieli innych państw.

Powiedz mi gdzie piłeś piwo, powiem ci kim jesteś

Untappd ma ponad 8 milionów użytkowników, głównie z rejonu Ameryki Północnej i Europy - w tym z Polski. Wśród nich - jak piszą dziennikarze Bellingcat - można odnaleźć m.in. amerykańskiego pilota dronów wraz z listą odwiedzonych przez niego krajowych i zagranicznych baz wojskowych, a także starszego oficera wywiadu wraz z informacjami o ponad 7 tysiącach logowań w serwisie. Można tam odnaleźć także urzędników Departamentu Obrony Stanów Zjednoczonych i Sił Powietrznych tego kraju.

Jak służby wywiadowcze mogą odnaleźć tych ludzi w gęstwinie 8 mln użytkowników serwisu? Untappd pozwala na logowanie się nie tylko w pubach i barach, ale i w innych obiektach - w tym o znaczeniu wojskowym. Dziennikarze Bellingcat pokazują, że zestawienie danych z Untappd z danymi pozostawianymi przez jego użytkowników w innych serwisach społecznościowych – nazwy użytkownika, zdjęcia profilowe – pozwala na ustalenie tożsamości, miejsca zamieszkania i pracy konkretnych osób.

Bellingcat jako przykład podaje blisko 600 użytkowników, którzy ponad 2600 razy zalogowali się w amerykańskiej bazie lotniczej Ramstein w kraju związkowym Nadrenia-Palatynat w zachodnich Niemczech.

Po lewej: Strona bazy lotniczej w Ramstein w aplikacji Untappd. Po prawej: historia lokalizacji udostępnionych przez użytkownika
Po lewej: Strona bazy lotniczej w Ramstein w aplikacji Untappd. Po prawej: historia lokalizacji udostępnionych przez użytkownika Foto: Bellingcat/Untappd

Po prawej stronie grafiki widać wycinek z historii logowań jednego z użytkowników Untappd podczas podróży po Afganistanie. Odwiedził m.in. bar ambasady Stanów Zjednoczonych w Kabulu oraz siedzibę główną Międzynarodowych Sił Wsparcia Bezpieczeństwa ISAF – wojsk operacyjnych organizowanych we współudziale z NATO na rzecz zachowania pokoju w Afganistanie. Oprócz tych lokalizacji użytkownik zostawił tysiące innych śladów swojej aktywności w setkach różnych miejsc.

Jak (nie) dać się złapać

Wyszukiwarka Untappd udostępnia przede wszystkim lokalizacje barów, pubów, restauracji czy hoteli. Serwis wydaje się celowo blokować niektóre informacje o lokalizacjach należących do szczególnych kategorii wyszukiwania, takich jak bazy wojskowe czy obiekty rządowe. Skąd zatem biorą się w historii logowań użytkowników?

Bellingcat tłumaczy to na przykładzie. Wojskowa baza treningowa Camp Peary w amerykańskim stanie Virginia nie pojawia się w wynikach wyszukiwania w aplikacji. Jednak gdy użytkownik chce oznaczyć, gdzie pije piwo i uruchomi geolokalizację, pojawiają się informacje o pobliskich obiektach. Wśród nich jest m.in. baza wojskowa. Użytkownik Untappd może wybrać Camp Peary jako miejsce, w którym wypił piwo. Tym samym lokalizacja pokazuje się w historii jego logowań w serwisie, a on sam zyskuje dostęp do linku pozwalającego na ustalenie, kto inny logował się w tym samym miejscu.

Z analizy dziennikarzy wynika, że w aplikacji można odnaleźć obiekty, które nie są opisywane w innych serwisach, np. Google czy Foursquare.

Stali bywalcy

Ślady zostawiane przez użytkowników same w sobie nie są wiarygodnymi informacjami. Internauci mogą logować się w miejscach położonych do prawie 100 kilometrów od miejsca ich faktycznego pobytu. Wielu z nich na pewno nie odwiedziło miejsc deklarowanego spożywania piwa, a zalogowało się w bazie wojskowej lub na lotnisku wojskowym dla zabawy.

Prawdopodobieństwo, że dany użytkownik faktycznie przebywał np. w bazie wojskowej i był tam w celu zawodowym można jednak ocenić analizując udostępnianą przez Untappd historię logowań. Informacje można filtrować m.in. poprzez częstotliwość logowań. Przykładowo, wielokrotne logowania w jednej bazie wojskowej wskazują, że może być ona stałym miejscem pracy danego użytkownika. Obecność innych obiektów militarnych w historii logowań może dodatkowo utwierdzać w przekonaniu, że użytkownik nie zrobił tego dla zabawy, a z powodu faktycznego przebywania w danym miejscu.

Bellingcat zwraca też uwagę, że niezwykle cenna jest zawarta w profilu każdej lokalizacji informacja o jej stałych bywalcach ("loyal patrons"). Na poniższej mapie niebieskie punkty to obiekty wojskowe na terenie Holandii. Na czerwono zaznaczono inne punkty o znaczeniu wojskowym, które odwiedzili użytkownicy "stali bywalcy". Zdaniem dziennikarzy, takie informacje pozwalają na skonstruowanie potencjalnej siatki kontaktów holenderskiej armii, przeprowadzanych misji i manewrów w różnych rejonach świata.

Stworzona przez Bellingcat mapa baz wojskowych odwiedzonych przez "stałych bywalców" holenderskich lokalizacji o charakterze wojskowym.
Stworzona przez Bellingcat mapa baz wojskowych odwiedzonych przez "stałych bywalców" holenderskich lokalizacji o charakterze wojskowym. Foto: Bellingcat

Dane o logowaniach dostarczają także informacji o wspólnych dla użytkowników lokalizacjach niezwiązanych z armią. Jak podaje Bellingcat, w przykładzie holenderskim można zidentyfikować ośrodek, do którego po zakończeniu misji udali się żołnierze.

Co można wyczytać z tła fotografii?

Takie informacje to jednak wciąż potencjalnie za mało dla zweryfikowania rzeczywistego logowania się użytkownika w danym miejscu. Wielką pomocą w tym względzie stają się fotografie, do których udostępniania zachęca Untappd. W centralnej części zamieszczanych fotografii najczęściej widać butelkę lub kufel piwa. W tle często można odnaleźć wskazówki o faktycznej lokalizacji wykonania fotografii.

Fotografia butelki piwa zamieszczona w serwisie Untappd. W tle widoczne charakterystyczne punkty wskazane na mapie miejsca
Fotografia butelki piwa zamieszczona w serwisie Untappd. W tle widoczne charakterystyczne punkty wskazane na mapie miejsca Foto: Bellingcat/Untappd

Bellingcat podaje przykład weryfikacji zdjęcia, które według logowania użytkownika zostało wykonane w Camp Peary. Charakterystyczne punkty widoczne na zdjęciu – chodnik z wielkich betonowych płyt, specyficzne elementy budynków widocznych w tle – pozwalają na ustalenie dokładnej lokalizacji na mapie i potwierdzenie wykonania zdjęcia w bazie treningowej.

Przy udostępnianiu zdjęć przez użytkowników występuje dodatkowe zagrożenia udostępnienia szczególnych danych – numerów kart płatniczych czy notatek służbowych. Bellingcat pokazał nawet przykład użytkownika, na którego fotografii oprócz butelki piwa można zobaczyć dokumenty wojskowe, z pewnością nieprzeznaczone do ujawnienia innym internautom.

Ekspert: bardzo poważne ryzyka

- Ujawnione ryzyka związane z używaniem aplikacji Untappd są w niektórych przypadkach bardzo poważne, lecz jest to głównie wynikiem zachowania użytkowników - komentuje Adam Haertle, ekspert cyberbezpieczeństwa z portalu Zaufana Trzecia Strona.

Haertle zwraca uwagę, że osoby, na które trafił autor artykułu w Bellingcat, nie tylko nie ustawiły swoich profili jako "prywatne", ale także oznaczały się w bazach wojskowych czy udostępniały fotografie dokumentów leżących na stole. - Specyfika tej aplikacji, związanej z konsumpcją alkoholu, może powodować większą akceptację dla ryzykownych zachowań - podkreśla ekspert.

Adam Haertle wskazuje, że serwis nie osiągnął w Polsce podobnej skali popularności jak wśród Amerykanów. - Pobieżna weryfikacja lokalizacji używanych przez główne polskie służby nie wykryła użytkowników meldujących się w ośrodkach szkoleniowych czy siedzibach tych organizacji - mówi Haertle i podkreśla, że może to być związane z niewielką popularnością Untappd w Polsce lub z większą dbałością polskich użytkowników o zachowanie prywatności.

Autor:  Krzysztof Jabłonowski
Źródło:  Konkret24, Bellingcat; zdjęcie tytułowe: Daniele Buso, Unsplash

Pozostałe

Nie, internetowy tłumacz nie ujawnia preferencji politycznych. To błąd oprogramowania

Internauci zauważyli, że Tłumacz Google nie podaje dobrych tłumaczeń niektórych wyrażeń. Po wpisaniu po polsku "Duda szkodzi" angielskie tłumaczenie brzmi: "Duda is okay". Przedstawiciel Google Polska informuje, że takie działanie oprogramowania jest wynikiem błędu. Nie mamy dowodów, że wprowadzenie systemu w błąd jest celowym zabiegiem.

Nie, Robert Lewandowski nie rozdaje kart podarunkowych i samochodów

Jeśli przeczytasz na Facebooku wpis zachęcający do udziału w konkursie, w którym Robert Lewandowski ma losować karty podarunkowe, samochody, domy i nagrody pieniężne – nie daj się nabrać. Od kilku dni w internecie trwa akcja z wykorzystaniem fikcyjnych kont, której celem jest pozyskiwanie od internautów numerów kart kredytowych i naciąganie ich na rzekomo darmowe usługi.

Kosiniak-Kamysz: czy mamy "bezpieczne badania" na temat 5G? Tak, mamy

Komentując oświadczenie prezydentów Polski i USA o współpracy w rozwijaniu rozwiązań technologicznych, w tym 5G, Władysław Kosiniak-Kamysz na wiecu wyborczym przypomniał obawy ludzi przed tą technologią. I pytał, czy "mamy bezpieczne badania", które mogą rozwiać ich wątpliwości. Badań naukowych przeczących szkodliwości pola elektromagnetycznego jest wiele; są też dotyczące technologii 5G.

Tak, GitHub planuje zmianę nazwy "master" na inną

Należący do Microsoftu hostingowy serwis internetowy dla projektów programistycznych GitHub postanowił zastąpić stosowaną w swoim systemie nazwę "master" na inną. Jak tłumaczy platforma, myślano o tym od dawna, zmianę terminu przyspieszyły protesty ruchu Black Lives Matter w USA.

Oszustwo na 5G. Pamięć USB za ponad 300 funtów nie chroni przed rzekomymi skutkami sieci

5GBioShield to pamięć USB, która ma tworzyć tarczę chroniącą przed rzekomymi skutkami 5G. Jedna z internetowych stron oferuje ją w cenie ponad 339 funtów. Eksperci sprawdzili, że jest to standardowy pendrive dostępny u innych sprzedawców online już za kilka funtów. BBC News poinformowało, że sprawą nieuczciwego sprzedawcy zajmuje się policja londyńskiego City.

Nie, fale elektromagnetyczne nie zwiększają zachorowań na COVID-19

Anteny 5G nie są potajemnie montowane w zamkniętych teraz szkołach. W Trójmieście nie postawiono w czasie kwarantanny 100 nadajników 5G. W krajach stosujących technologię 5G nie ma zwiększonej śmiertelności na COVID-19. Przeciwnicy 5G w Polsce strach przed epidemią wykorzystują do dezinformacji.

Wyłudzanie pieniędzy "na koronawirusa" - uważaj na linki

Internauci pokazują w mediach społecznościowych SMS-y, których nadawcami są rzekomo banki zachęcające ich do dokonania przelewów. SMS-y dotyczące płatnych szczepień miało niby rozsyłać Ministerstwo Zdrowia. Policja ostrzega przed oszustami próbującymi wykorzystać stan zagrożenia epidemicznego do wyłudzania pieniędzy.