Suomalainen Long Play -verkkojulkaisu on selvittänyt kotimaisen kuntoilu- ja terveyslaitevalmistaja Polarin Flow-treenisovelluksen tietoturvaa. Tutkimus on tehty yhdessä hollantilaisen De Correspondentin ja kansalaisjournalistien Bellingcat-ryhmän kanssa.

Harjoituksia ja aktiivisuutta mittaavan Flow-sovelluksen treenidatasta paljastui arkaluonteisia tietoja. Työryhmä sai selville noin 6 500 henkilön nimiä ja sijaintitietoja. Tähän kuului muun muassa sotilashenkilökuntaa, ydinaseiden varastointipaikoissa työskenteleviä ja turvallisuuspalvelun henkilökuntaa 69 eri maasta.

Ryhmä tutki esimerkiksi sotilastukikohdissa liikkuneita henkilöitä heidän julkisten gps-sijaintitietojensa perusteella. Tarkentamalla arkaluontoiseen kohteeseen saattoi kuka tahansa Polar-tilin omistaja klikata siellä harjoitelleita. Heidän harjoitushistoriastaan puolestaan voi helposti päätellä helposti kotiosoitteen, koska treenien tallennus alkaa yleensä kotipihalta. Niiden perusteella on puolestaan voinut löytää esimerkiksi Googlesta lasten ja puolison nimiä ja valokuvia.

Karttadatasta paljastuu esimerkiksi erään käyttäjän lenkkejä sotilaskohteissa Irakissa ja kotitalon ympäristössä. Vastaavia tietoja ryhmä sai selville sadoista sotilaista ja tiedustelutehtävissä työskentelevistä. Data oli suurimmaksi osaksi julkiseksi asetettua, mutta osa oli myös asetettu salatuksi. Tietojen selvittäminen ei vaatinut mukaan ohjelmointitaitoja vaan ainoastaan palvelun tunnukset ja hieman oveluutta.

Puolustusvoimat ovat ohjeistaneet varusmiehiä ja varsinkin kansainvälisissä tehtävissä palvelevia estämään gps-paikannuksen. Puolustusvoimien johtamisjärjestelmäpäällikkö Mikko Heiskanen on tähdentänyt Long Playlle, että kyse on käyttäjän oman lisäksi myös muiden turvallisuudesta – esimerkiksi muun henkilökunnan ja käyttäjän läheisten.

Sijainti- ja osoitetietojen paljastumisen voi helposti ajatella uhkaavan myös julkisessa ammatissa toimivia. Taviksillekin tiedoista voi koitua ongelmia. On helppo kuvitella sijaintitietojen kiinnostavan myös esimerkiksi murtovarkaita, joille treenitiedot kertovat kartanonomistajan juoksevan parhaillaan maratonia toisella puolella maapalloa.

Long Play tiedotti asiasta kaksi viikkoa sitten Polarille, joka sen jälkeen on poistanut ainakin toistaiseksi muiden käyttäjien reittien tarkastelun sovelluksestaan. Yhtiö on myös kertonut selvittävänsä tietojenjakokäytäntöjään ennen treenien tarkastelun mahdollista avaamista uudelleen. Polarin strategiajohtaja Marco Savilaakson Long Playlle antaman lausunnon mukaan käyttäjien tiedot ovat oletuksena salaisia, joten heidän on täytynyt itse säätää tietonsa kaikkien nähtäviksi.

Asia on myös Suomen tietoturvavaltuutetun tutkittavana. Long Playn arvion mukaan tapaukseen saatetaan tulla soveltamaan EU:n toukokuussa voimaan tullutta tietosuoja-asetusta. Tapaus olisi ensimmäinen kaupallista sovellusta koskeva.

Viime tammikuussa Strava-sovellus sai negatiivista julkisuutta vastaavan kohun vuoksi. Ryhmä tutki myös Endomondoa ja Runkeeperiä,. Myös niissä pystyi yksilöimään käyttäjiä, mutta ei yksityisiksi tilinsä määritelleitä. Kannattaa joka tapauksessa varmistaa käyttämistään treenisovelluksista, mitä tietoja se kenellekin jakaa. Jos käytät Polar Flow’ta, voit tarkistaa jakoasetuksesi täältä.

Long Playn juttua taustoittavan kirjoituksen voi lukea täältä. Asiasta voi lukea tarkemmin englanniksi seuraavista De Correspondentin jutuista:

“This fitness app lets anyone find names and addresses for thousands of soldiers and secret agents”
“Here’s how we found the names and addresses of soldiers and secret agents using a simple fitness app”
“Project Polar: Why we decided to publish our findings”