Suomalaisen Polarin fitness-sovellus Flow on paljastanut käyttäjiensä arkaluonteisia sijaintitietoja, selvisi suomalaisen Long Playn, hollantilaisen De Correspondentin ja kansalaisjournalistien Bellingcat-ryhmän tutkimuksissa.
Tutkimuksissa kävi ilmi, että Flow-sovelluksen datan avulla on mahdollista selvittää satojen sotilaiden ja tiedustelutyöntekijöiden kotiosoitteet.
Työryhmä löysi nimiä ja kotiosoitteita useiden eri valtioiden tiedustelupalvelujen ja salaisten palvelujen työntekijöille. Heidän joukossaan oli muun muassa Yhdysvaltojen NSA:n, Britannian GCHQ:n ja MI6:n sekä Venäjän GRU:n työntekijöitä. Mukana oli myös useita suomalaisia, jotka ovat urheilleet kansainvälisten sotilasoperaatioiden keskuksissa.
Flow-sovelluksen käyttäjiä löytyi useista sotilastukikohdista, muun muassa Pohjois-Irakin Erbilistä, Kuuban Guantanamo Baysta ja Malin Gaosta.
Työryhmä onnistui kokoamaan yli 6 000 Flow-käyttäjän tiedot. Suuri osa paljastuneista tiedoista löytyi sovelluksen julkisesta kartasta. Kuitenkin työryhmä pääsi käsiksi myös sellaisten käyttäjien tietoihin, jotka eivät olleet tehneet käyttäjäprofiileistaan julkisia.
Long Playn mukaan Flow-sovelluksen haavoittuvuus teki mahdolliseksi yksittäisen kuntoiluhetken yhdistämisen yksilölliseen käyttäjäkoodiin ja käyttäjän muihin urheilusuorituksiin. Muokkaamalla verkko-osoitetta sovelluksen selainversion karttanäkymässä työryhmä sai esiin rajattomasti käyttäjien kuntoilusuorituksia.
Tietosuojavaltuutettu tutkii asiaa
Työryhmä kertoi löydöistään Polarille kaksi viikkoa sitten. Perjantaina julkaisemassaan lausunnossa Polar sanoo, ettei siltä ole vuotanut mitään tietoja ja ettei yksityisiin tietoihin ole murtauduttu. Polar sanoo olevansa tietoinen, että potentiaalisesti arkaluonteisia sijaintitietoja ilmenee julkisessa datassa. Yhtiö kertoo päättäneensä väliaikaisesti poistaa sovelluksesta mahdollisuuden tarkastella muiden käyttäjien suorituksia kartalla.
STT ei sunnuntaina tavoittanut Polarin edustajia.
Long Playn mukaan Suomen tietosuojavaltuutettu tutkii nyt Flow-sovelluksen ongelmia. Long Play ennakoi, että tapauksesta voi tulla ensimmäinen kaupallisen sovelluksen tietoturvaan liittyvä ongelma, johon sovelletaan EU:n tietosuoja-asetusta.
Työryhmä aloitti tutkimuksensa sen jälkeen, kun yhdysvaltalaisen Strava-kuntoilusovelluksen julkistamasta datasta oli tammikuussa paljastunut tietoja Yhdysvaltojen sotilastukikohtien sijainnista ja sotilaiden liikkeistä. Arkaluonteisia tietoja oli tuolloin paljastunut sotilaiden käyttämien aktiivisuusrannekkeiden vuoksi.