全球200多处机密坐标外泄 都被“它”坑了

　　军事基地的位置规模、情报人员的身份行踪，都是每个国家的最高机密。对于这些藏在全球各个角落的“敏感信息”，即便是我们天天盯着谷歌地图，也未必能定位出个大概。

　　但是，来自69个国家的近6500位人士，却用双脚在地图上“丈量”出全球超过200处机密坐标，并同时暴露了自己的姓名、家庭住址——其中就包括来自美、英、法、俄、荷等国家的军方情报人士。

　　

　　

　　用脚“画”出来的军事机密 本文图片均来自荷兰媒体De Correspondent

　　这是因为他们使用了芬兰Polar公司生产的穿戴式健身手表，并在锻炼身体时无意间对外泄露了数据隐私。此事在近日遭荷兰调查团队曝光，迫于压力下，Polar公司目前已暂停定位追踪功能。

　　亲手给你家里钥匙

　　据法新社消息，荷兰和平公益组织PAX联手该国新锐媒体De Correspondent，并在8日于后者网站上刊登了对Polar公司定位系统漏洞的长篇系列调查报告。

　　

　　调查报告封面以及调查团队成员

　　调查团队通过分析2014年以来的数据，在全球6460名Polar用户的健身资料中，还原出了超过200个“机密地区”的坐标：这其中包括48处核武器储存所、18个情报机构、6处无人机基地、2处核电厂、2处皇室人员住所等。

　　

　　其中包括法军一处核武器储藏点和吉布提内的无人机停机坪

　　而在这次调查中被成功“点亮”的机密部门有：

　　美国国家安全局（NSA）、美国特勤局（Secret Service）、英国军情六处所在的英国政府通讯总部（GCHQ）、俄总参情报总局“格鲁乌”（GRU）、俄罗斯对外情报局（SVR RF）、法国对外安全局（DGSE）以及荷兰军事情报局（MIVD）。

　　

　　



　
　　

　　而在有些情况下，透露这些坐标的恰恰是各国的军方、情报人士。由于Polar公司的穿戴性设备可储存用户长距离运动下的距离、坐标、所用时间等信息，这些机密人士等于是在地图上主动标亮了自己的日程作息和活动范围。

　　报告对此如此写到：“只需稍稍点击几下，就可以得知存放核武的空军基地，一位高阶军官上午在院区慢跑。我们可以通过Polar掌握驻扎阿富汗的西方军事人员的资料，然后在社交媒体上交叉比对姓名及头像，便可确认一名士兵或军官的身份。”

　　此外，有时候通过反复对比用户的慢跑路径模式，可以推断出此人可能的住址。这让调查人员感叹道：就像情报人员亲手把家里钥匙送到你手上，那么简单！

　　

　　用户即便是住在高层，也不能摆脱被定位的风险。Polar的设备可以记录用户在短时间内经历的“海拔差”，调查人员可通过查询谷歌地图的三维视角，从而推断出用户所住的楼层数。

　

　　Polar最初不以为然

　　随着调查的深入，越来越多的敏感坐标、机密人士的信息被挖掘出来，调查人士逐渐感到肩上背负的责任重大。

　　报告写道：一些别有用心的人可能会利用我们文章中的信息，产生一些“危险的想法”，但这并不意味着我们不该发表这份调查结果。正是因为这个问题的严重性，而且世界上有这么多相似的穿戴式健身设备，我们才决定这么做。

　　此外，调查团队首先在6月22日通知了荷兰国防部，并由荷兰国防部，向各国国防部门转达这则消息。而荷兰政府也在第一时间做出反应：该国的军方、情报人士被下令禁止使用Polar手机APP。

　　介于为什么不在第一时间发表文章，调查团队希望“各国政府能有足够时间来通知那些被泄露机密的人士，以免发生不必要的安全问题”。

　　3天后（6月25日），调查团队向总部位于芬兰的Polar公司出事了调查证明。但Polar公司一开始对“泄密”一事不以为然。首席策略官苏威拉科索（Marco Suvilaakso）认为，Polar又没有违反欧盟隐私相关的安全条例，而且分享数据与否完全是由用户自己决定的。

　　

　　苏威拉科索 图自《CEO》杂志

　　对此，Polar公司仅仅派出两名工程师应付了调查团队，称会对手机APP和网站进行一些“微小”的变动。

　　随后，调查团队开始通过芬兰和美国的同行（媒体人士），向全球各地的Polar公司代表处施压。

　　最终，Polar公司在7月4日妥协，并发表声明，称决定将彻底关闭网站的定位共享功能。这意味着一切通过地图定位用户的“追踪术”已经行不通了。

　　健身器？还是追踪器？

　　脸书“数据泄露门”事件还历历在目，如今军方情报人士的举举动动，因手腕上的一块手表变得不再神秘，令人忧虑。

　　实际上，穿戴式设备“出事”并不是第一次。当年美国智能手表公司Fitbit的产品就因“泄露数据”被人批评，已经在2011年作出过整改。但美国人的担忧从此没有消停：美国国会参议院民主党领袖舒默（Chuck Schumer）和联邦贸易委员会(FTC)主席拉米雷斯(Edith Ramirez)就多次公开反对使用Fitbit。

　　


　　

　　商业内幕、卫报报道截图

　　结果警告得到了验证。Fitbit的数据库在今年1月被曝遭到黑客入侵，超过2500万用户的个人隐私被暴露无遗。

　　此外，专注于自行车运动的美国健身追踪软件Strava也在今年1月出了事。该应用意外泄露美国军方机密，包括遍布世界各地的美国军事基地以及间谍前哨的位置及人员配置信息。

　　

　　Strava的定位功能曾将摩苏尔附近的美军动向暴露无遗 图自BBC

　　《自然》杂志曾在2015年发文分析过隐私问题对穿戴式设备技术突破的挑战。

　　文章写道，对于制造商来说，提高安全性会增加金钱成本、研发时间，会让设备的体型变大从而增加能耗；而对于用户来说，对于用数据的过度保护，会减少此类穿戴性设备用于“社交”的体验感。

　　由此产生的矛盾正考验着每一个技术、安全人士。