8:24
29/1/2018

Wczoraj jedna z aplikacji dla sportowców, Strava, udostępniła w internecie nową wersję interaktywnej mapy. Widać na niej miejsca i drogi po których ludzie korzystający z tej aplikacji biegają, jeżdżą na rowerze, czy po prostu spacerują z włączonym telefonem. Jeden z użytkowników Twittera postanowił przyjrzeć się aktywnościom wokół obszarów wojskowych… i tak zaczęła się niezła zabawa. Poniżej przedstawiamy jej efekty.

Pośrodku ciemności mały punkt się jawi, po jego powiększeniu i nałożeniu mapy:

Aktywność wokół bazy CIA w Mogadiszu:

Okazuje się, że Strava jest także popularna wśród rosyjskich wojskowych:

Nawet pomimo takich plakatów:

i pomimo opisanych przez nas parę lat temu incydentów z metadanymi na Ukrainie, gdzie wcale Rosjanie nie stacjonowali.

Czasem aktywność pojawia się pośrodku niczego, ale jeśli podłoży się pod ten obszar nowszą, aktualniejszą mapę, to widać, że coś się tam wybudowało:

Miejscowi biegający w kółko?

Jeśli mapa jest niedokładna lub rozmyta, jest szansa, że biegacze wyznaczą jej “siatkę”.

Okazuje się, że z urządzeń, z których Strava zczytuje dane korzstają także VIP-y:

Chociaż wprost USA twierdzi, że na podstawie m.in. metadanych z takich urządzeń …bombarduje swoje cele:

Tu warto przypomnieć, że w USA były incydenty, w których zginęli ludzie, bo ktoś do sieci wrzucił zdjęcie bazy wojskowej w której stacjonował. A zamiast lajków poleciały moździerze

Na mapie Stravy ciekawie wygląda też różnica pomiędzy południową i północną Koreą. To co świeci się na północy, to raczej nie baza wojskowa, a przedstawiciel pierwszego świata w podróży.

ale najwięcej “baz wojskowych” i tak jest w innym miejscu. Poznajecie gdzie?

W tym kontekście ciekawi wygląda też siedziba Google. Zastanawiające, jaki sport tam uprawiają:

A jak z polskimi “tajnymi” obiektami?

Sprawdziliśmy dla Was aktywność wokół najpopularniejszych ośrodków i siedzib polskich służb. W Starych Kiejkutach, ośrodku szkoleniowym polskich szpiegów są 2 widoczne “nitki”:

Trochę większa aktywność na parkingu przed warszawską siedzibą Agencji Wywiadu i na okolicznej polanie. Ale bliskość miasta i niedokładność niektórych trackerów może to wyjaśniać.

Ośrodek szkoleniowy ABW pod Warszawą — świeci się jasno. Wysportowani, znaczy się!

Przebieżki robią też oficerowie CBA na terenie swojego ośrodka szkoleniowego. Tu ładnie widać, to, czego nie widać, bo przykrywają to drzewa :)

A na koniec, żebyście tak bardzo tym danym nie ufali, popatrzcie na lotnisko w Balicach. Ktoś biega po pasie startowym?

Oczywiście że nie. Po prostu któryś z pasażerów nie wyłączył telefonu w samolocie. Teraz już chyba jasne, że mapa Stravy pokazuje nie tylko dane ze “sportowych” aktywności. I nie zawsze musi pokazywać aktywność osób z danego obszaru. Ktoś mógł wpaść na gościnne występy na dany obszar. Warto o tym pamiętać przy ocenie polskich służb. Do tych ośrodków zaprasza się sporo osób z zewnątrz i nie zawsze zabiera się im telefony.

Zanim zaczniesz hejtować wojskowych ze screenów powyżej…

Sprawdź swoją historię lokalizacji na Google. Jeśli masz Androida, domyślnie Twoje położenie jest przekazywane do chmury Google — historię sprawdzić pod tym adresem.

Funkcja ta jest przydatna chyba tylko dla tych osób, które nie pamiętają o której i którędy wróciły do domu po suto zakrapianej imprezie. Dla innych stanowi ona raczej większe zagrożenie niż okazjonalne skorzystanie z aplikacji Strava.

Już widzimy te nagłówki w dzisiejszej prasie…

Zapewne temat mapki od Strava.com niebawem podchwycą mainstreamowe media. Już nie możemy się doczekać nagłówków w stylu “Zobacz gdzie biegają pracownicy ABW” albo podobnych. Problem w tym, że…

1. W żaden sposób dane ze Strava nie zdradzają lokalizacji tajnych baz wojskowych. Wierzcie nam, że każda osoba mieszkająca w promieniu kilkunastu kilometrów od takiego obiektu doskonale wie, że on tam jest i że stacjonują tam żołnierze (albo inne służby). Często po prostu zdradza to wysokie ogrodzenie, drut kolczasy i tabliczki teren wojskowy. Naprawdę ciężko to przeoczyć. Jak w przypadku obiektu SKW:

W Polsce zresztą tego typu obiekty można prościej namierzyć. Pisaliśmy o tym już 8 lat temu w artykule pt. Wyszukiwarka polskich tajnych baz wojskowych. Do dnia dzisiejszego na Open Street Maps wszystkie obiekty wojskowe są wyraźnie oznaczone czerwoną krechą (“tajne” ośrodki służb też, nawet jak nikt po nich nie biega z fit-opaską czy smartfonem):

Zresztą nawet i bez takiego oznaczenia bardzo łatwo można lokalizować bazy wojskowe — wystarczy trochę pomyśleć. Na tym blogu znajdziecie przydatne wskazówki od rasowego szukacza tajnych baz.

2. Strava nie narusza też niczyjej prywatności. Jej użytkownicy mogą nie tylko wypisać się z wyświetlania swoich danych na mapie ale również ustawić tzw. strefy prywatności (aplikacja nie nagrywa lokalizacji na danym obszarze, np. okolicy kilku km od domu). Nie mówiąc już o tym, że dane “ćwiczenie” można ustawić jako całkowicie prywatne. W każdym z tych 3 przypadków, danych nie ma na mapie.

Co więcej, jeśli ktoś się zagapił i nie wyłączył “trackingu” na telefonie, z którym wrócił do domu i przebywał w nim przez kilka godzin, to normalnie na mapie Stravy ten dom byłby oznaczony bardzo jasnym punktem (dużo raportów z jednego wąskiego obszaru). Strava to przewidziała i dlatego ze swojej mapy wyklucza takie “anomalie”:

Data from non-moving activities can have the undesirable effect of highlighting homes or businesses. A new algorithm does a much better job of classifying stopped points. If the magnitude of the time averaged velocity of an activity stream gets too low at any point, subsequent points from that activity are filtered until the activity breaches a specific radius in distance from the initial stopped point.

Podsumowując, na mapie Stravy pojawiają się więc informacje z urządzeń tylko tych wojskowych, które nie potrafią zmienić ustawień w aplikacji, bo nie wierzymy, że któryś z nich chciałby tego typu dane ujawniać. Takich “cyfrowych analfabetów” niestety jest coraz więcej.

O tym, czym grozi brak świadomości, że zdjęcia wykonywane aparatem i wrzucane np. na Twittera zawierają w swoich metadanych lokalizację? Pisaliśmy już o tym w artykule pt. Terrorysta zrobił selfie i został zbombardowany.

Ale nie wszędzie! Są też na mapach Stravy obiekty wojskowe, które albo zatrudniają świadomych żołnierzy (lub takich, którzy nie są wysportowani) albo po prostu mają dobrą ochronę przed ulotem elektromagnetycznym (por. TEMPEST). Oto Pentagon:

I sławna “Area 51” na pustyni w Newadzie:

Całkiem nieźle pod tym kątem radzi sobie także nasza Służba Kontrwywiadu Wojskowego (przy założeniu, że już zajmuje te budynki, które kilka lat temu remontowała):

Jednostka SKW

Jednostka SKW

Dla kogo takie dane mogą być problemem?

Niektórzy podnoszą, że dla wojskowych. Ale nie z powodu, o którym huczy internet — czyli ujawnienia lokalizacji tajnej bazy wojskowej. Z powodu zdradzenia codziennej rutyny. Jeśli żołnierze wychodzą pobiegać poza obszar bazy, to ktoś może wydedukować najpopularniejsze trasy biegowe. I tam na żołnierza się zaczaić.

Jeśli jednak spojrzymy na tę sprawę od strony terrorysty — to informacje ze Strava.com nie będą nam do niczego potrzebne. Skoro żołnierze biegają często, można ich po prostu poobserwować. Okiem. Do internetu niepodłączonym. Takie oko ma jedną przewagę nad fit-opaskami i telefonami. Zauważy też żołnierzy, którzy z nich nie korzystają.

Strava stanowi zdecydowanie większy problem dla przemytników i karteli narkotykowych. łatwo można zauważyć, gdzie mają swoje szlaki. Tu granica USA – Meksyk obok San Diego:

A tu Ekwador i Kolumbia:

Nie tylko Strava może Cię zdeanonimizować. Facebook, Tinder, Endomondo, Runkeeper itp.

Od dawna na naszych szkoleniach poświęconych urządzeniam mobilnym oraz prywatności pokazujemy przykład, jak łatwo można namierzyć czyjś adres zamieszkania poprzez Facebooka, nawet jeśli nie ujawnił go w profilu i nie czekinuje się w swoim domu oraz nie wrzuca zdjęć z tej okolicy. Oto slajd z naszego wykładu pt. “Jak nie dać się zhackować“:

Tak, nie tylko Strava upublicznia “mapki” z biegania, czy rowerowych podróży. Takich aplikacji są dziesiątki. Runkeeper, Endomondo. Wcale też nie trzeba przeglądać godzinami czyjegoś profilu, aby na nie trafić na czyimś koncie na Facebooku, wystarczy jeden prosty trick…

Jeśli chcesz go poznać, razem z kilkudziesięcioma innymi poradami odnośnie tego jak zabezpieczyć swój komputer i smartfon przed atakami i swoją prywatność przed naruszeniem, to zapraszamy 31 stycznia do Poznania. Tam o godz. 18:00 odbędzie się nasz wykład pt. Jak nie dać się zhackować i zostały na niego ostatnie wejściówki. Rezerwacji miejsca można dokonać tutaj.

Lokalizowanie osób w pobliżu umie też natywnie sam Facebook, Snapchat i szereg innych aplikacji, dlatego…

Biegam z fit-opaską albo telefonem — co robić, jak żyć?

…przede wszystkim przejrzyj ustawienia dotyczące lokalizacji w swoim koncie Google (zrobisz to tutaj) oraz obowiązkowo na Androidzie lub iOS. Na iPhone bardzo ładnie widać, jaka aplikacja i kiedy może korzystać z usług lokalizacji. Jeśli którejś nie rozpoznajesz lub uważasz, że ma zbyt szeroką możliwość śledzenia Twoich ruchów — po prostu zabierz jej uprawnienia.

Przejrzyj ustawienia prywatności swojej aplikacji do biegania. (I Snapchata i Facebooka i każdej innej, której pozwoliłeś na dostęp do usług lokalizacji). Jeśli chcesz mieć statystyki szybkości, różnicy wysokości i nagraną trasę — nie ma opcji, usługi lokalizacji na Twoim telefonie będą musiały zostać włączone dla danej aplikacji. Twórcy aplikacji poznają lokalizację startu i końca Twojego “ćwiczenia”. Nie oznacza to jednak, że musi ją poznać cały świat.

We wszystkich aplikacjach, z których korzystali nasi redaktorzy znajdują się opcje pozwalające na zachowanie historii “ćwiczeń” dla siebie. Pamiętaj tylko, że nawet jeśli aktywujesz taką ochronę, to nie uchroni Cię ona przed ujawnieniem tego typu danych w przypadku włamania na serwery producenta Twojej fit-opaski albo apliakcji, którą wykorzystujesz jako sportowy tracker. Tu idealnie pasuje jeszcze jeden slajd z naszego wykładu:

W Polsce, to najgorszy byłby Yanosik, ale…

Na koniec, pozwólmy sobie zauważyć, że poważniejszym zagrożeniem dla prywatności byłoby opublikowanie podobnej mapy od któregoś z dostawców nawigacji samochodowych, Google Maps czy popularnego w Polsce Yanosika. Dlaczego? Bo wtedy można by było udać się na mapie pod siedzibę AW, ABW lub SKW i po prostu popatrzeć na “nitki”, które zaczynają się na parkingach pod tymi budynkami i prześledzić je pod …no właśnie, gdzie po pracy wracają oficerowie tych służb?

Ale taki lokalizacyjny Armageddon i prywatnościowy koszmar chyba nam nie grozi. Google nigdy nie pozwoliłoby sobie na opublikowanie takich danych, a gdyby do takiego projektu zabrał się Yanosik, to prawdopodobnie nic by z tego nie wyszło. Yanosik przecież ostrzega przed radiowozem, który znajduje się na drodze 2 kilometry od nas, ale takim od którego się oddalamy, więc nie przypuszczamy, że poprawnie ogarnąłby wymagającą większej precyzji analizę danych ;)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

42 komentarzy

Dodaj komentarz
  1. W jaki sposób Google zdobywa historię przeglądania przeze mnie internetu? Rozumiem, że np. Chrome może mu je przekazywać, ale jak Google zbiera dane gdy używa się innych przeglądarek?

    • Reklamy i/lub skrypty szpiegujące dla googla można znaleźć na większości stron. Na przykład na takim niebezpieczniku śledzi cię zarówno google, jak i facebook, niezależnie czy jesteś zalogowany do jakiejś z ich usług czy nie. Można to łatwo podejrzeć w ublock czy umatrix.

    • Firefox domyślnie korzysta z usługi Google Safe Browsing do sprawdzenia czy aby odwiedzania stronia nie jest ZŁA

    • Ktoś zapomniał o Gravatarze. Należy używać Ghostery i uBlock.

    • 8.8.8.8, 8.8.4.4 :)

  2. Co do śladów na pasie startowym lotniska – w Łodzi kiedyś w nocy rolkarze mieli szanse jeździć po pasie, i to chyba nie jeden raz, także te ślady też mogą być poprawne. To nie musi być pasażer samolotu.

  3. Bardzo fajny artykuł! Tylko dlaczego Citymapper ma uprawnienie do lokalizacji “Always”? :-) “While Using” w pełni wystarczy.

    • Nie, jeśli w trakcie podróży przełączysz się na coś innego. Nie dostaniesz przypomnienia o wyjściu :)

  4. Czy jest jakas szansa,ze wylaczenie google maps history sprawi, ze przestana zapisywac te informacje?

    • Wyłaczasz nagrywanie, a nie zbieranie i przekazywanie danych. Przy wyłączeniu nawet powinieneś zobaczyć takie “ostrzeżenie”. Wyłącz usługi lokalizacji na telefonie dla aplikacji — wtedy aplikacja nie będzie tych danych otrzymywać. Co prawda ostatnio Google obchodził to zbieraniem informacji o masztach telefonii komórkowej, ale ponoć już tego nie robią ;)

    • Według mnie wiara że to wyłączy logowanie jest naiwna – więc wolę przynajmniej sam też mieć do tych danych dostęp :)

  5. “aplikacja nie nagrywa lokalizacji na danym obszarze, np. okolicy kilku km od domu”

    Nagrywa, tylko nie publikuje. Poza tym nie kilka km tylko max 1000m.
    Zeby nie byc na tej heatmap wystarczy odhaczyc opcje w ustawieniach.

  6. Oczywiście, że są rozgrywane biegi po pasach startowych. To dość popularne wydarzenia.

  7. Gdzie poczytam o zagrożeniach związanych z Google Timeline? Ciekawa opinia na temat przydatności (uwielbiam takie kpiące opinie…), bo mi np. służy do otworzenia szczegółów kilkutygodniowej wycieczki sprzed roku.

  8. Z tym Yanosikiem _teoretycznie_ jest tak, że on nie wysyła własnej lokalizacji, tylko pobiera lokalizacje POI (interesujących punktów) i porównuje je z własną lokalizacją. Przynajmniej tak było kiedyś, jeśli to się zmieniło, to chętnie bym się dowiedział (ale analizować ruchu apki mi się nie chce).

    • Widziałem w mediach informację od Yanosika, na temat średnich prędkości w miastach.Albo akcja typu “nagradzamy zwalniających przy szkołach”. Więc jak najbardziej mają te dane. Tym bardziej, że teraz współpracują z ubezpieczycielem, który na podstawie stylu jazdy może zaoferować zniżki, więc “system” jest.

  9. Wszystko co masz na telefonie lub na komputerze traktuj jako publiczne dane. To zdanie powinno niektórym dać wiele do myślenia

    • Na slajdzie jest: “Wszystko co wrzucasz do internetu i masz na komputerze…” Więc jeśli wrzucam do internetu i nie mam na komputerze lub telefonie to jestem bezpieczny :D

  10. Ciekawe zjawisko, bo akurat https://www.google.com/maps/timeline mówi 404 :)

    • Oni pokazują tylko to co chcą pokazać.

  11. Dobrze być “lekko zacofany” w stosunku do obecnych trendów…

  12. Mnie zastanawiają niektóre “kreski” w poprzek zabudowy… Czyżby ślad po dronach?

    • Hej, dzieki za super mape. Jest o wiele dokładniejsza i co ważne AKTUALNIEJSZA! niż googlowska. Ponadto śmiechowo widzieć który dom zajmują biegacze :D

      Kreski w poprzeg zabudowań itd. to najpewniej załoga helikoptera. Mieszkam niedaleko szpitala i czasem przelatują nad bagnami, co by wyjaśniało jedną kreske koło mnie

  13. OFFLINE, OFFLINE I JESZCZE RAZ OFFLINE.
    Nie mysimy korzystać z aplikacji, które sieją naszymi danymi. Na androida trasy aktywności mozna zapisywać np. za pomocą AAT czy osmand.
    Lokalizację można też włączać tylko wtedy gdy jest potrzebna.

    Dlaczego takiej informacji nie ma w artykule?

  14. Ktoś grzbietem Krzemienia w Bieszczadach chadza :O

  15. Jak patrzę na tą mapę to mam wrażenie że to sa połączone dane z osm albo endomondo i stravy,bo są tam wybitnie tylko moje ścieżki. Choć w sumie kto wie, może tam gdzie nikt poza mna by nie poszedł jednak ktoś się wybrał ?

    • Nie powinno Cię to dziwić. Strava dała zgodę projektowi OpenStreetMap na wykorzystanie ich śladów. Po prostu ktoś naniósł ścieżki do OSM bazując na podkładzie Stravy.

  16. Najgorsze jest to, że skoro nie wyłączyli strava heatmap to pewnie nie wyłączyli też segmentów i strava flyby, a w ten sposób można łatwo sprawdzić kto w tym miejscu trenuje zakładając segment lub preparując pik .gpx tak jak byśmy biegali 24h po okolicy. Jak podali swoje prawdziwe dane na profilu, a do tego dodali jeszcze zdjęcia no to narażają się na niebezpieczeństwo.

  17. No nie jest to update z wczoraj. Ostatnia aktualizacja jest z listopada na podstawie danych z września – po prostu dopiero teraz ktoś zrobił szum:

    https://medium.com/strava-engineering/the-global-heatmap-now-6x-hotter-23fc01d301de?_branch_match_id=445129186582257153

    Swoją drogą – Strava pozwala na wrzucanie różnych aktywności – od spacerów (stąd pewnie aktywności w campusie google) po wirtualne treningi na Zwift’cie (jako przykład bardzo aktywna wyspa niedaleko australii – https://labs.strava.com/heatmap/#13.79/166.95367/-11.66310/hot/all )

  18. btw.
    https://vgy.me/Y2QHvy.jpg

    jest droga…nie ma drogi

  19. Jak ładnie jest pilnowana nasza wschodnia granica ;) I ścieżki przemytników spalone.

  20. Już co najmniej od grudnia poprzedniego roku znam tę stronę z mapą i jakoś nie wpadłem na to by oglądać sobie wojskowe obiekty.

  21. A da się powiązać biegającego żołnierza USA z ISIS dzięki tej ciepłej mapce?

  22. […] Amerykanie z kolei zdradzili lokalizację swoich baz, ponieważ ich żołnierze biegali dookoła nich z zegarkami markującymi lokalizację w celu wyliczenia osiągnięć sportowych (por. Tajne obiekty rządowe zaświeciły się na mapie). […]

  23. […] i inne agregaty dokonań sportowych także zaliczają wpadki bezpieczeństwa i wycieki danych (por. Tajne obiekty wojskowe zaświeciły się na żółto na tej mapie oraz Kolejna aplikacja sportowa ujawniła adresy szpiegów i […]

  24. […] było głośno za sprawą amerykańskich żołnierzy, biegających po tajnych bazach na całym świecie, a swoje aktywności umieszczali […]

  25. […] podobną wpadkę parę lat temu zaliczyli żołnierze — biegali z aplikacjami i w ten sposób zdradzili lokalizację wielu obiektów wojskowych, nawet tych, których nie było jeszcze na […]

Odpowiadasz na komentarz pytacz

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: