Suomalainen fitness-sovellus on paljastanut satojen sotilaiden liikkeitä

8. heinäkuuta 2018, Hanna Nikkanen

Suomalaisen Polarin fitness-sovellus Flow on paljastanut käyttäjiensä arkaluontoisia sijaintitietoja. Long Playn, hollantilaisen De Correspondentin ja Bellingcatin tutkimuksissa selvisi, että datan avulla on mahdollista selvittää satojen sotilaiden ja tiedustelutyöntekijöiden kotiosoitteet.

Suomalainen Sami on lenkkeillyt Erbilin lentoaseman kupeessa kulkevaa suoraa tietä pitkin koko syksyn ja alkutalven 2016. Hän on kirjannut tuloksensa suomalaisen Polarin Flow-palveluun: poltetut kalorit, taitetun matkan. GPS-paikannuksen ansiosta juoksulenkit ovat piirtyneet kartalle, jota palvelun muut käyttäjät voivat tarkastella.

Erbil on kurdien itsehallintoalueen pääkaupunki. Siellä sijaitsee tukikohta, jossa valmistellaan Isisin vastaisia kansainvälisiä operaatioita. Suomalaiset kouluttavat tukikohdassa Irakin turvallisuusviranomaisia.

Meidän ei pitäisi tietää operaatioon osallistuneiden suomalaisten nimiä – eikä esimerkiksi sitä, että kotimaassa Samin lenkit lähtevät lähes aina saman lempääläläisen puutalon pihasta. Koska Sami on tallentanut Polarin palveluun varsin paljon lenkkejään sekä Irakissa että Suomessa, hänen kotiosoitteensa selvittäminen kävi parissa minuutissa. Samin vaimon nimen ja ammatin selvittäminen muista verkkolähteistä oli yhtä vaivatonta.

LONG PLAY, hollantilainen De Correspondent ja avointa dataa tutkiva Bellingcat-ryhmä ovat tarkastelleet Polarin Flow-sovelluksen julkista käyttäjädataa. Työhön ryhdyttiin, kun suositun Strava-kuntoilusovelluksen julkistamasta datasta paljastui sotilassalaisuuksia viime tammikuussa. Uutinen herätti työryhmän kiinnostuksen muiden vastaavien sovellusten tietoturvaan. Kävi ilmi, että myös Flow vuotaa salaisuuksia: kansainvälisissä tehtävissä olevien sotilaiden ja tiedustelupalveluiden työntekijöiden yksityisiä tietoja. Heidän urheilusuorituksensa yhdistivät heidät säännöllisiin lenkkireitteihin ja kotiosoitteisiin.

Lenkkeillessään käyttäjillä on nimittäin tapana käynnistää urheilusovellus kotipihallaan. Moni myös kirjaa sovellukseen kotitreenejä juoksumatolla tai kuntopyörän selässä. Kun sama osoite toistuu käyttäjän datassa riittävän monta kertaa, se on hyvin todennäköisesti hänen kotiosoitteensa.

Löysimme helposti nimiä ja kotiosoitteita ihmisille, jotka työskentelevät eri valtioiden tiedustelupalveluissa ja salaisissa palveluissa: esimerkiksi Yhdysvaltain NSA:ssa, Britannian GCHQ:ssa ja MI6:ssa, Venäjän GRU:ssa ja SVR RF:ssä, Ranskan DGSE:ssä sekä Hollannin MIVD:ssä. Mukana oli myös useita suomalaisia, jotka ovat Samin tapaan urheilleet kansainvälisten sotilasoperaatioiden keskuksissa.

Sotilastukikohdissa urheiltiin ahkerasti. Erbilin lisäksi esimerkiksi Kuuban Guantánamo Baysta ja Malin Gaosta löytyy Polarin asiakkaita. Heitä on myös Afganistanissa, Saudi-Arabiassa, Qatarissa, Tšadissa ja Etelä-Koreassa sijaitsevissa tukikohdissa. Korkean turvallisuuden vankilat, sotilaslentokentät ja lennokkitukikohdat antoivat myös tuloksia.

Näin ei pitäisi tapahtua. Esimerkiksi Pohjois-Irakin operaatioista palannut sotilashenkilökunta ja heidän perheensä ovat houkutteleva kohde Isisin terroristeille, ja armeijat ovat yrittäneet vähentää iskujen riskiä tiukoilla salassapitosäännöillä.

SOTILASTUKIKOHTIA, tiedustelupäämajoja ja muita kiinnostavia kohteita haravoimalla työryhmämme onnistui kokoamaan yli 6000 Flow-käyttäjän tiedot. Se tapahtui laillisin keinoin ja verrattain helposti.

Suuri osa selvityksessämme paljastuneista tiedoista löytyi sovelluksen julkisesta kartasta. Monet arkaluontoisissa kohteissa urheilevat olivat itse julkistaneet profiilinsa. Heistä noin 90 prosenttia kertoi profiilissaan nimensä ja kotikaupunkinsa, mikä helpotti jäljitystyötä entisestään.

Mutta työmme edetessä paljastui vakavampi ongelma. Työryhmämme pääsi käsiksi myös sellaisten käyttäjien tietoihin, jotka eivät olleet tehneet käyttäjäprofiileistaan julkisia.

Tällainen käyttäjä on esimerkiksi nimetön henkilö, joka hölkkäsi elokuussa 2017 ympyrää Pohjois-Irakin Chamchamalissa, keskellä kurdien, Irakin hallituksen ja terroristijärjestö Isisin valtataistelua. Satelliittikuva paljastaa, että paikassa on pieni tukikohta.

Flow-sovelluksen haavoittuvuuden ansiosta pystyimme yhdistämään yksittäisen kuntoiluhetken yksilölliseen käyttäjäkoodiin ja hölkkääjän muihin urheilusuorituksiin. Autiomaan yksinäinen urheilija on juossut, uinut ja pyöräillyt ahkerasti eri puolilla Suomea: Säkylässä, Lahdessa, Vierumäellä. Jokainen suoritus oli tarkoitettu anonyymiksi, eikä käyttäjä ole voinut tietää, että ne voitaisiin yhdistää toisiinsa. Kun saman käyttäjän kaikki suoritukset piirtyvät Flow-sovelluksen kartalle, on helppo löytää säännönmukaisuuksia. Hän on palannut aina uudestaan erään Päijät-Hämeessä sijaitsevan asuintalorykelmän luo. Se on todennäköisesti hänen kotinsa.

Kuvakaappaus Flow-palvelusta näyttää juoksulenkin autiomaassa. Satelliittikuvassa samassa paikassa näkyy pieni tukikohta.

Yllä: Kuvakaappaus Flow-sovelluksesta näyttää juoksulenkin Irakin Chamchamalissa. Alla: satelliittikuvassa samassa paikassa näkyy pieni tukikohta.

TIEDONKERUUMME PERUSTUI kokonaan sovelluksen selainversion karttanäkymän verkko-osoitteen muokkaamiseen. Sen avulla saatoimme muuttaa hakumme alue- ja aikarajauksia. Flow oli näyttävinään kerrallaan korkeintaan 20 treenikertaa, mutta verkko-osoitetta muuttamalla saimme esiin rajattomasti treenejä.

Mikään työssämme ei vaatinut ohjelmointitaitoja. Laadimme tosin pienen ohjelman, joka automatisoi tiedonhakua. Flow-sovellus luovutti ohjelmallemme kaiken datan meitä kiinnostaneissa karttakoordinaateissa näkyvistä treeneistä, mukaanlukien jokaisen käyttäjän käyttäjätunnisteet – heidänkin, jotka olivat asettaneet profiilinsa salaiseksi. (Niiden käyttäjien, jotka eivät ikinä ole jakaneet yhtäkään treeniään kartalle, tietoja sovellus ei vuotanut.)

Kuka tahansa olisi voinut koota aineistosta tietokannan, joka sisältäisi kymmenien valtioiden sotilassalaisuuksia. Terroristien käsissä sellainen olisi vaarallinen.

TAMMIKUUSSA 2018 fitness-sovellus Strava julkisti sivuillaan kartan, jossa näkyi sen käyttäjien urheilusuoritteita eri puolilla maailmaa. Tarkoitus oli esitellä sovelluksen suosiota, mutta kartta tuli samalla paljastaneeksi useiden salaisten tukikohtien sijainnin. Siitä nousi meteli, ja Strava vetosi käyttäjien vastuuseen: he olisivat itse voineet säätää profiilinsa salaisiksi.

Suomessa Puolustusvoimat on jo ennen Stravan tapausta ohjeistanut varusmiehiä ja reserviläisiä olemaan jakamatta GPS-tietojaan. Silti moni tekee niin.

Käytännössä kaikki mobiilisovellukset ovat puolustusvoimien näkökulmasta turvattomia, sanoo puolustusvoimien johtamisjärjestelmäpäällikkö Mikko Heiskanen Long Playlle. Kansainvälisiin operaatioihin lähteville suomalaisille riskejä tähdennetään erikseen.

”Korostamme, että kyse ei ole vain heidän omasta turvallisuudestaan, vaan myös muun henkilökunnan, koko operaation ja heidän omien läheistensä turvallisuudesta”, Heiskanen sanoo.

Polarin datan perusteella suomalaiset varusmiehet käyttävät sovellusta varomattomasti, mutta päällystö on varovaisempaa. Esimerkiksi Tikkakosken Luonetjärven varuskunta-alueella, missä puolustusvoimien Viestikoekeskus majailee, suorituksiaan on viime aikoina kirjannut vain kaksi käyttäjää, eikä heidän datastaan voi päätellä kotiosoitteita.

Sen sijaan Yhdysvaltain kansallisen turvallisuuden viraston NSA:n keskus Marylandin Fort Meadessa tarjoaa yllättävän paljon tietoja. Jäljitimme useita työntekijöitä kotiovilleen. Muutama heistä työskentelee johtoasemissa kybersodankäynnin parissa.

KERROIMME LÖYDÖISTÄMME Polarille kaksi viikkoa sitten. Kaksi päivää ennen tämän jutun julkaisua Polar poisti sovelluksestaan mahdollisuuden tarkastella muiden käyttäjien suorituksia kartalla.

Strategiajohtaja Marco Suvilaakso haluaa korostaa, että suurin osa Flow’n käyttäjistä on pitänyt treeninsä kokonaan salassa. Käyttäjien on täytynyt itse säätää asetuksiaan, jos he ovat halunneet, että mitkään heidän tietonsa näkyvät muille käyttäjille. Siksi julkista dataa on vähemmän kuin Stravan tapauksessa.

”Etenkään niiden, jotka käyttävät Flow’ta sensitiivisillä alueilla, ei kannattaisi laittaa treenejään julkisiksi”, Suvilaakso sanoo Long Playlle.

Nyt Polar sanoo selvittävänsä, miten se jatkossa voisi palauttaa jakomahdollisuuden sovellukseensa.

Suomen tietosuojavaltuutettu tutkii nyt Polar Flow -sovelluksen ongelmia. Koska tapaus vaikuttaa käyttäjiin myös muissa EU-maissa, se voi seuraavaksi edetä EU-käsittelyyn. Silloin kyseessä olisi ensimmäinen kaupallisen sovelluksen tietoturvaan liittyvä ongelma, johon sovelletaan EU:n tietosuoja-asetusta GDPR:ää. Flow’sta voi tulla tärkeä ennakkotapaus.

Samin nimi on muutettu. Lue tapauksesta lisää De Correspondentin jutuista:

"This fitness app lets anyone find names and addresses for thousands of soldiers and secret agents"

"Here’s how we found the names and addresses of soldiers and secret agents using a simple fitness app"

"Project Polar: Why we decided to publish our findings"