Serwis dla piwoszy zagrożeniem dla bezpieczeństwa państwa? Użytkownicy jednego z serwisów internetowych oceniają piwa i wymieniają się uwagami o ich smaku i jakości. Przy okazji mogą pozostawić informacje o lokalizacji miejsc, które odwiedzili. To szczególne zagrożenie dla wojskowych i pracowników służb.
Bellingcat, portal zajmujący się prowadzeniem śledztw na bazie informacji z internetu, donosi o ryzyku związanym z wykorzystaniem serwisu społecznościowego Untappd. Jak piszą dziennikarze, dane geolokalizacyjne, pozostawiane w serwisie przez wojskowych, funkcjonariuszy służb czy urzędników mogą stanowić łakomy kąsek dla wywiadów zbierających informacje o działalności przedstawicieli innych państw.
Powiedz mi gdzie piłeś piwo, powiem ci kim jesteś
Untappd ma ponad 8 milionów użytkowników, głównie z rejonu Ameryki Północnej i Europy - w tym z Polski. Wśród nich - jak piszą dziennikarze Bellingcat - można odnaleźć m.in. amerykańskiego pilota dronów wraz z listą odwiedzonych przez niego krajowych i zagranicznych baz wojskowych, a także starszego oficera wywiadu wraz z informacjami o ponad 7 tysiącach logowań w serwisie. Można tam odnaleźć także urzędników Departamentu Obrony Stanów Zjednoczonych i Sił Powietrznych tego kraju.
Jak służby wywiadowcze mogą odnaleźć tych ludzi w gęstwinie 8 mln użytkowników serwisu? Untappd pozwala na logowanie się nie tylko w pubach i barach, ale i w innych obiektach - w tym o znaczeniu wojskowym. Dziennikarze Bellingcat pokazują, że zestawienie danych z Untappd z danymi pozostawianymi przez jego użytkowników w innych serwisach społecznościowych – nazwy użytkownika, zdjęcia profilowe – pozwala na ustalenie tożsamości, miejsca zamieszkania i pracy konkretnych osób.
Bellingcat jako przykład podaje blisko 600 użytkowników, którzy ponad 2600 razy zalogowali się w amerykańskiej bazie lotniczej Ramstein w kraju związkowym Nadrenia-Palatynat w zachodnich Niemczech.
Po prawej stronie grafiki widać wycinek z historii logowań jednego z użytkowników Untappd podczas podróży po Afganistanie. Odwiedził m.in. bar ambasady Stanów Zjednoczonych w Kabulu oraz siedzibę główną Międzynarodowych Sił Wsparcia Bezpieczeństwa ISAF – wojsk operacyjnych organizowanych we współudziale z NATO na rzecz zachowania pokoju w Afganistanie. Oprócz tych lokalizacji użytkownik zostawił tysiące innych śladów swojej aktywności w setkach różnych miejsc.
Jak (nie) dać się złapać
Wyszukiwarka Untappd udostępnia przede wszystkim lokalizacje barów, pubów, restauracji czy hoteli. Serwis wydaje się celowo blokować niektóre informacje o lokalizacjach należących do szczególnych kategorii wyszukiwania, takich jak bazy wojskowe czy obiekty rządowe. Skąd zatem biorą się w historii logowań użytkowników?
Bellingcat tłumaczy to na przykładzie. Wojskowa baza treningowa Camp Peary w amerykańskim stanie Virginia nie pojawia się w wynikach wyszukiwania w aplikacji. Jednak gdy użytkownik chce oznaczyć, gdzie pije piwo i uruchomi geolokalizację, pojawiają się informacje o pobliskich obiektach. Wśród nich jest m.in. baza wojskowa. Użytkownik Untappd może wybrać Camp Peary jako miejsce, w którym wypił piwo. Tym samym lokalizacja pokazuje się w historii jego logowań w serwisie, a on sam zyskuje dostęp do linku pozwalającego na ustalenie, kto inny logował się w tym samym miejscu.
Z analizy dziennikarzy wynika, że w aplikacji można odnaleźć obiekty, które nie są opisywane w innych serwisach, np. Google czy Foursquare.
Stali bywalcy
Ślady zostawiane przez użytkowników same w sobie nie są wiarygodnymi informacjami. Internauci mogą logować się w miejscach położonych do prawie 100 kilometrów od miejsca ich faktycznego pobytu. Wielu z nich na pewno nie odwiedziło miejsc deklarowanego spożywania piwa, a zalogowało się w bazie wojskowej lub na lotnisku wojskowym dla zabawy.
Prawdopodobieństwo, że dany użytkownik faktycznie przebywał np. w bazie wojskowej i był tam w celu zawodowym można jednak ocenić analizując udostępnianą przez Untappd historię logowań. Informacje można filtrować m.in. poprzez częstotliwość logowań. Przykładowo, wielokrotne logowania w jednej bazie wojskowej wskazują, że może być ona stałym miejscem pracy danego użytkownika. Obecność innych obiektów militarnych w historii logowań może dodatkowo utwierdzać w przekonaniu, że użytkownik nie zrobił tego dla zabawy, a z powodu faktycznego przebywania w danym miejscu.
Bellingcat zwraca też uwagę, że niezwykle cenna jest zawarta w profilu każdej lokalizacji informacja o jej stałych bywalcach ("loyal patrons"). Na poniższej mapie niebieskie punkty to obiekty wojskowe na terenie Holandii. Na czerwono zaznaczono inne punkty o znaczeniu wojskowym, które odwiedzili użytkownicy "stali bywalcy". Zdaniem dziennikarzy, takie informacje pozwalają na skonstruowanie potencjalnej siatki kontaktów holenderskiej armii, przeprowadzanych misji i manewrów w różnych rejonach świata.
Dane o logowaniach dostarczają także informacji o wspólnych dla użytkowników lokalizacjach niezwiązanych z armią. Jak podaje Bellingcat, w przykładzie holenderskim można zidentyfikować ośrodek, do którego po zakończeniu misji udali się żołnierze.
Co można wyczytać z tła fotografii?
Takie informacje to jednak wciąż potencjalnie za mało dla zweryfikowania rzeczywistego logowania się użytkownika w danym miejscu. Wielką pomocą w tym względzie stają się fotografie, do których udostępniania zachęca Untappd. W centralnej części zamieszczanych fotografii najczęściej widać butelkę lub kufel piwa. W tle często można odnaleźć wskazówki o faktycznej lokalizacji wykonania fotografii.
Bellingcat podaje przykład weryfikacji zdjęcia, które według logowania użytkownika zostało wykonane w Camp Peary. Charakterystyczne punkty widoczne na zdjęciu – chodnik z wielkich betonowych płyt, specyficzne elementy budynków widocznych w tle – pozwalają na ustalenie dokładnej lokalizacji na mapie i potwierdzenie wykonania zdjęcia w bazie treningowej.
Przy udostępnianiu zdjęć przez użytkowników występuje dodatkowe zagrożenia udostępnienia szczególnych danych – numerów kart płatniczych czy notatek służbowych. Bellingcat pokazał nawet przykład użytkownika, na którego fotografii oprócz butelki piwa można zobaczyć dokumenty wojskowe, z pewnością nieprzeznaczone do ujawnienia innym internautom.
Ekspert: bardzo poważne ryzyka
- Ujawnione ryzyka związane z używaniem aplikacji Untappd są w niektórych przypadkach bardzo poważne, lecz jest to głównie wynikiem zachowania użytkowników - komentuje Adam Haertle, ekspert cyberbezpieczeństwa z portalu Zaufana Trzecia Strona.
Haertle zwraca uwagę, że osoby, na które trafił autor artykułu w Bellingcat, nie tylko nie ustawiły swoich profili jako "prywatne", ale także oznaczały się w bazach wojskowych czy udostępniały fotografie dokumentów leżących na stole. - Specyfika tej aplikacji, związanej z konsumpcją alkoholu, może powodować większą akceptację dla ryzykownych zachowań - podkreśla ekspert.
Adam Haertle wskazuje, że serwis nie osiągnął w Polsce podobnej skali popularności jak wśród Amerykanów. - Pobieżna weryfikacja lokalizacji używanych przez główne polskie służby nie wykryła użytkowników meldujących się w ośrodkach szkoleniowych czy siedzibach tych organizacji - mówi Haertle i podkreśla, że może to być związane z niewielką popularnością Untappd w Polsce lub z większą dbałością polskich użytkowników o zachowanie prywatności.
Autor: Krzysztof Jabłonowski / Źródło: Konkret24, Bellingcat; zdjęcie tytułowe: Daniele Buso, Unsplash
Źródło zdjęcia głównego: Unsplash | Daniele Buso