Корсун: Як через додаток ідентифікували охоронців Байдена, Макрона, Трампа та путіна: висновки

|
Версия для печатиВерсия для печати

Цікавий кейс оприлюднило французьке видання Le Monde.

Є такий додаток Strava: якщо ви полюбляєте побігати або кататися на веліку і ділитися своїми результатами та досягненнями, то встановлюєте цей додаток, реєструєтеся у ньому і після кожної пробіжки бачите маршрут, швидкість, пройдену дистанцію, тощо.
Можна також бачити такі ж дані інших бігунів/велосипедистів.

Така собі соціальна мережа для спортсменів: можна «лайкати» інших учасників, домовлятися про групові забіги, коментувати, викладати фото з маршруту, тощо.

Поколупавшися у цьому сервісі, журналісти вирахували десятки охоронців Джо Байдена, Джил Байден, Барака Обами, Емануля Макрона, Мелані Трамп, самого Дональна Трампа, Майка Пенса, Камали Харріс та навіть виявили шість бодігардів російського диктатора путєна (при тому, що березні 2022 року Strava припинила роботу сервіса на росії та білорусі).

То як вдалося отримати таку засекречену інформацію?

Насправді ніякої магії і ніяких супер-хацкерів.

Спочатку співставили маршрути 70 офіційних візитів Джо Байдена за кілька років - з даними пробіжок зі Strava у ці ж дні в районах мешкання офіційної делегації.
Таким чином у Strava було ідентифіковано 150 агентів.
З них список звузили до 26 – щодо яких не було ніяких сумнівів, що вони входять до складу охорони Президента США. Тому що охоронці президента завжди слідують за ним.
А як тільки профілі агентів Секретної Служби США стають публічними – вони перестають бути секретними.

Але як дізналися що саме ці юзери Strava таки є агентами?

А тут ще простіше: попри реєстрацію у Strava під вигаданими іменами, справжні імена користувачів також можна побачити – і це продемонстровано у відео .

А маючи ім'я – можна його погуглити.

І знайти акаунти у соцмережах, де ті ж люди зі Strava фотографуються біля Білого Дому або навіть безпосередньо з Джо Байденом. І разом з сім'ями: з дружинами, з дітьми.

А далі, знаючи ще цей акаунт Strava належить агенту охорони Президента США – можна знайти адресу мешкання його та його сім'ї: просто по маршрутами пробіжок. Бо люди майже завжди вибігають з дому, і повертаються – о диво!  - туди ж.

І цей метод спрацював майже по всіх 26 акаунтах Strava, ідентифікованих як «охоронці Президента США». Та ще й вирахували місця, де бодігарди з родинами проводять відпустки.

Як може таку інформацію використати недружня спецслужба – можна легко здогадатися. Охоронця Президента можна залякувати, підкупляти, шантажувати, викрадати його родину, шукати компромат чи створювати провокаційні ситуації – варіантів безліч. Щоб примусити його зливати інформацію або іншим чином сприяти ворожій діяльності – аж до замаху на політика №1 у Світі.

Скоріш за все, подібні спортивні додатки та відповідні OSINT-інструмент вже давно використовуються провідними спецслужбами.

Але у мене виникає два ключових питання.

Перше: як так вийшло, що додаток видає будь-кому реальні імена користувачів замість нікнеймів? Навіщо тоді нікнейми? Як там стосовно конфіденційності та безпеки персональних даних?

І головне питання: а нахіба агенту US Secret Service реєструватися у Strava під своїм, бляха, реальним ім’ям?! От мізки є у чуваків? Так, під час роботи їм заборонено використовувати приватні девайси. Але ж і після роботи ти залишаєшся агентом, хіба це не очевидно?

Перед публікаціє свого розслідування Le Monde надіслала його результати до USSS і ті дали відповідь, що, типу, розберуться.
Але на момент публікації матеріалу 14 з 26 профілів ідентифікованих агентів USSS – залишалися публічними.
Тепер ніхто не дивується останнім провтикам цієї організації?

Але ж я розказав цю історію не тільки тому, що вона цікава: з неї також можна зробити кілька важливих висновків.
1. Безпека додатків залишається великою проблемою не тільки для України. Ідіотів скрізь вистачає.
2. Досить часто вразливості системи знаходять у зовсім неочікуваних місцях. Захищаєшся від одного, а хакають тебе через зовсім інше, про яке й не думав.
3. Цілком легітимні та начебто безпечні функції з персональними даними можна використати на шкоду як самим користувачам, так і їхньому оточенню. Привіт, Резерв+Дія.
4. У сучасному все більш цифровізованому світі все важче залишатися анонімним, особливо зі швидким розвитком різноманітних OSINT-інструментів.
5. Відповідно, зі зростанням інформатизованості суспільства – підвищується роль особистої кібербезпеки та необхідність її не тільки вивчати, але й активно застосовувати у повсякденному житті. Усім: і солдатам, і президентам.

Бо деякі дурачки досі вважають, що «роль кібербезпеки дещо перебільшена».

Автор: Костянтин Корсун, експерт з кібербезпеки. У 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ. Засновник та перший керівник CERT-UA. Колишній директор та співзасновник української кібер-компанії; сторінка автора у Феййсбук

«Аргумент»


На цю тему:


Читайте «Аргумент» в Facebook и Twitter

Если вы заметили ошибку, выделите ее мышкой и нажмите Ctrl+Enter.

Система Orphus

Новини

20:00
У вівторок в Україні буде сухо, вдень близько 0°
18:06
Марина Данилюк-Ярмолаєва розповіла, навіщо ментально не-українська Банкова знов витягла покидька Поворознюка
16:05
Новини ТОП-шахрайства та VIP-корупції: Кабмін надав 23 млрд грн ДПСУ на закупівлю боєприпасів в обхід "Агенції оборонних закупівель". Ми на межі скандалу, - Згурець
14:02
Заволодіння державною землею на Сумщині: САП завершила слідство у справі Сольського - типового "слуги народу"
13:39
На річці Оскіл та на кордоні з рф на Харківщині досі не побудовані фортифікації. Росіяни переходять Оскіл і далі - Борова, Ізюм, Балаклія, - Безугла
13:23
Тисяча книжок – майбутнім офіцерам НГУ
12:03
Безпідставне затягування справи: Вища рада правосуддя відкрила дисциплінарну справу щодо корумпованої судді Октябрського райсуду Полтави Марини Материнко
10:01
У Румунії на парламентських виборах перемагають демократичні сили
09:17
Байден помилував свого сина Гантера, Трамп емоційно відреагував
09:09
Канцлер Німеччини Шольц прибув до Києва

Підписка на канал

Важливо

ЯК ВЕСТИ ПАРТИЗАНСЬКУ ВІЙНУ НА ТИМЧАСОВО ОКУПОВАНИХ ТЕРИТОРІЯХ

Міністерство оборони закликало громадян вести партизанську боротьбу і спалювати тилові колони забезпечення з продовольством і боєприпасами на тимчасово окупованих російськими військами територіях.

Як вести партизанську війну на тимчасово окупованих територіях

© 2011 «АРГУМЕНТ»
Републікація матеріалів: для інтернет-видань обов'язковим є пряме гіперпосилання, для друкованих видань – за запитом через електронну пошту.Посилання або гіперпосилання повинні бути розташовані при використанні тексту - на початку використовуваної інформації, при використанні графічної інформації - безпосередньо під об'єктом запозичення.. При републікації в електронних виданнях у кожному разі використання вставляти гіперпосилання на головну сторінку сайту argumentua.com та на сторінку розміщення відповідного матеріалу. За будь-якого використання матеріалів не допускається зміна оригінального тексту. Скорочення або перекомпонування частин матеріалу допускається, але тільки в тій мірі, якою це не призводить до спотворення його сенсу.
Редакція не несе відповідальності за достовірність рекламних оголошень, розміщених на сайті, а також за вміст веб-сайтів, на які дано гіперпосилання. 
Контакт:  [email protected]