Корсун: Як через додаток ідентифікували охоронців Байдена, Макрона, Трампа та путіна: висновки

|
Версия для печатиВерсия для печати

Цікавий кейс оприлюднило французьке видання Le Monde.

Є такий додаток Strava: якщо ви полюбляєте побігати або кататися на веліку і ділитися своїми результатами та досягненнями, то встановлюєте цей додаток, реєструєтеся у ньому і після кожної пробіжки бачите маршрут, швидкість, пройдену дистанцію, тощо.
Можна також бачити такі ж дані інших бігунів/велосипедистів.

Така собі соціальна мережа для спортсменів: можна «лайкати» інших учасників, домовлятися про групові забіги, коментувати, викладати фото з маршруту, тощо.

Поколупавшися у цьому сервісі, журналісти вирахували десятки охоронців Джо Байдена, Джил Байден, Барака Обами, Емануля Макрона, Мелані Трамп, самого Дональна Трампа, Майка Пенса, Камали Харріс та навіть виявили шість бодігардів російського диктатора путєна (при тому, що березні 2022 року Strava припинила роботу сервіса на росії та білорусі).

То як вдалося отримати таку засекречену інформацію?

Насправді ніякої магії і ніяких супер-хацкерів.

Спочатку співставили маршрути 70 офіційних візитів Джо Байдена за кілька років - з даними пробіжок зі Strava у ці ж дні в районах мешкання офіційної делегації.
Таким чином у Strava було ідентифіковано 150 агентів.
З них список звузили до 26 – щодо яких не було ніяких сумнівів, що вони входять до складу охорони Президента США. Тому що охоронці президента завжди слідують за ним.
А як тільки профілі агентів Секретної Служби США стають публічними – вони перестають бути секретними.

Але як дізналися що саме ці юзери Strava таки є агентами?

А тут ще простіше: попри реєстрацію у Strava під вигаданими іменами, справжні імена користувачів також можна побачити – і це продемонстровано у відео .

А маючи ім'я – можна його погуглити.

І знайти акаунти у соцмережах, де ті ж люди зі Strava фотографуються біля Білого Дому або навіть безпосередньо з Джо Байденом. І разом з сім'ями: з дружинами, з дітьми.

А далі, знаючи ще цей акаунт Strava належить агенту охорони Президента США – можна знайти адресу мешкання його та його сім'ї: просто по маршрутами пробіжок. Бо люди майже завжди вибігають з дому, і повертаються – о диво!  - туди ж.

І цей метод спрацював майже по всіх 26 акаунтах Strava, ідентифікованих як «охоронці Президента США». Та ще й вирахували місця, де бодігарди з родинами проводять відпустки.

Як може таку інформацію використати недружня спецслужба – можна легко здогадатися. Охоронця Президента можна залякувати, підкупляти, шантажувати, викрадати його родину, шукати компромат чи створювати провокаційні ситуації – варіантів безліч. Щоб примусити його зливати інформацію або іншим чином сприяти ворожій діяльності – аж до замаху на політика №1 у Світі.

Скоріш за все, подібні спортивні додатки та відповідні OSINT-інструмент вже давно використовуються провідними спецслужбами.

Але у мене виникає два ключових питання.

Перше: як так вийшло, що додаток видає будь-кому реальні імена користувачів замість нікнеймів? Навіщо тоді нікнейми? Як там стосовно конфіденційності та безпеки персональних даних?

І головне питання: а нахіба агенту US Secret Service реєструватися у Strava під своїм, бляха, реальним ім’ям?! От мізки є у чуваків? Так, під час роботи їм заборонено використовувати приватні девайси. Але ж і після роботи ти залишаєшся агентом, хіба це не очевидно?

Перед публікаціє свого розслідування Le Monde надіслала його результати до USSS і ті дали відповідь, що, типу, розберуться.
Але на момент публікації матеріалу 14 з 26 профілів ідентифікованих агентів USSS – залишалися публічними.
Тепер ніхто не дивується останнім провтикам цієї організації?

Але ж я розказав цю історію не тільки тому, що вона цікава: з неї також можна зробити кілька важливих висновків.
1. Безпека додатків залишається великою проблемою не тільки для України. Ідіотів скрізь вистачає.
2. Досить часто вразливості системи знаходять у зовсім неочікуваних місцях. Захищаєшся від одного, а хакають тебе через зовсім інше, про яке й не думав.
3. Цілком легітимні та начебто безпечні функції з персональними даними можна використати на шкоду як самим користувачам, так і їхньому оточенню. Привіт, Резерв+Дія.
4. У сучасному все більш цифровізованому світі все важче залишатися анонімним, особливо зі швидким розвитком різноманітних OSINT-інструментів.
5. Відповідно, зі зростанням інформатизованості суспільства – підвищується роль особистої кібербезпеки та необхідність її не тільки вивчати, але й активно застосовувати у повсякденному житті. Усім: і солдатам, і президентам.

Бо деякі дурачки досі вважають, що «роль кібербезпеки дещо перебільшена».

Автор: Костянтин Корсун, експерт з кібербезпеки. У 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ. Засновник та перший керівник CERT-UA. Колишній директор та співзасновник української кібер-компанії; сторінка автора у Феййсбук

«Аргумент»


На цю тему:


Читайте «Аргумент» в Facebook и Twitter

Если вы заметили ошибку, выделите ее мышкой и нажмите Ctrl+Enter.

Система Orphus

Новини

20:00
У середу дощитиме та сніжитиме на заході та півночі України
18:10
Костянтин Корсун: Уряд Канади закриває Тік-Ток через національну безпеку. Уряд України не закриває Телеграм, "бо пох..."
16:04
ТСК Ради пропонує розформувати ТЦК і відправити персонал на фронт
14:59
"Списав" 94 млн грн пені за прострочені контракти львівському бізнесмену Гринкевичу - повідомлено про підозру ексчиновнику МО
12:03
Юрій Касьянов: Армія старих та інвалідів завжди програє війну армії молодих
11:59
58% українців проти територіальних поступок, 32% готові відмовитися від територій для завершення війни (ОПИТУВАННЯ)
10:01
Незаконне отримання інвалідності: у МСЕК, лікарнях і обласних прокуратурах проходять обшуки
08:01
Ворог просунувся на Донеччині та Курщині на кількох напрямках
20:00
У вівторок в Україні ще буде сухо, а в середу - засніжить
18:03
Касьянов: Необхідно знизити мінімальний призовний вік

Підписка на канал

Важливо

ЯК ВЕСТИ ПАРТИЗАНСЬКУ ВІЙНУ НА ТИМЧАСОВО ОКУПОВАНИХ ТЕРИТОРІЯХ

Міністерство оборони закликало громадян вести партизанську боротьбу і спалювати тилові колони забезпечення з продовольством і боєприпасами на тимчасово окупованих російськими військами територіях.

Як вести партизанську війну на тимчасово окупованих територіях

© 2011 «АРГУМЕНТ»
Републікація матеріалів: для інтернет-видань обов'язковим є пряме гіперпосилання, для друкованих видань – за запитом через електронну пошту.Посилання або гіперпосилання повинні бути розташовані при використанні тексту - на початку використовуваної інформації, при використанні графічної інформації - безпосередньо під об'єктом запозичення.. При републікації в електронних виданнях у кожному разі використання вставляти гіперпосилання на головну сторінку сайту argumentua.com та на сторінку розміщення відповідного матеріалу. За будь-якого використання матеріалів не допускається зміна оригінального тексту. Скорочення або перекомпонування частин матеріалу допускається, але тільки в тій мірі, якою це не призводить до спотворення його сенсу.
Редакція не несе відповідальності за достовірність рекламних оголошень, розміщених на сайті, а також за вміст веб-сайтів, на які дано гіперпосилання. 
Контакт:  [email protected]