Suomalaisyhtiö Polar on poistanut käytöstä Flow-urheilusovelluksen karttatoiminnon, josta saattoi päätellä muun muassa sotilaiden kotiosoitteita.
Viestintäviraston mukaan tapaus vaikuttaa mediatietojen perusteella tyypilliseltä käyttäjien varomattomuudelta.
– Jos ajattelee jakavansa vaikka pyöräilykavereille sen, miten pyöräilee, ja tiedot menevät kaikille, niin kyllähän se voi tulla yllätyksenä. Tämä on yleinen netin ominaisuus. Ihminen ei välttämättä mieti, ketkä kaikki tiedon voivat nähdä, sanoo Viestintäviraston Kyberturvallisuuskeskuksen johtava asiantuntija Jussi Eronen.
Hänen mukaansa kehittäjän virheeksi voidaan luokitella se, että yksityiseksi merkittyihin treeneihin on ollut jokin pääsy.
– Tieto on ollut anonymisoitua, mutta joissain tapauksissa pelkästään reittien perusteella toimittaja on pystynyt identifioimaan ihmisen, Eronen sanoo.
Satojen sotilaiden ja arkaluontoisissa tehtävissä työskentelevien sijaintitietoja levittäneen suomalaisen urheilusovellus Flow'n kehittäjä, sykemittareista tunnettu Polar Electro myönsi maanantaina tehneensä virheen.
Yhtiön strategiapäällikkö Marco Suvilaakso kertoi STT:lle, että sovelluksen hakutoiminnossa oli heikkous, jonka kautta oli mahdollista selvittää sijaintitietoja käyttäjistä, joiden profiili oli yksityinen.
– Tuossa hakutoiminnossa meillä oli yksi heikko kohta. Oli mahdollista löytää User ID -numeron kautta useampia eri treenejä, joita henkilö on tehnyt, vaikka profiili ei siinä julkisena näy. Se on parannuskohde, Suvilaakso sanoo.
Tietoja myös kriisinhallintatehtävissä olleista
Ongelma selvisi Bellingcat-ryhmän, hollantilaisen De Correspondentin ja suomalaisen Long Playn selvityksessä. Tutkimuksissa kävi ilmi, että Polarin Flow-sovelluksen avulla on mahdollista selvittää satojen sotilaiden ja tiedustelutyöntekijöiden kotiosoitteet ympäri maailmaa.
Long Playn mukaan tietoja oli mahdollista selvittää myös kriisinhallintatehtävissä työskentelevistä suomalaisista. Eräs esimerkkitapaus oli julkaissut reittitietojaan kurdien itsehallintoalueen Arbilin kaupungista Irakissa vuonna 2016. Long Play jäljitti hänet kotiosoitteeseensa Suomessa.
Tapaus tietosuojavaltuutetun tutkittavaksi
Polar Electro on poistanut käytöstä Flow-sovelluksen käyttäjätietoja levittäneen Explore-karttatoiminnon. Yhtiö korostaa, ettei kyse ole tietomurrosta tai vuodosta. Kaikki arkaluontoiset sijaintitiedot ovat strategiapäällikön mukaan käyttäjien itse jakamia.
Flow'n käyttäjien sijaintitietoja ei Polarin strategiapäällikkö Suvilaakson mukaansa missään vaiheessa julkaistu oletusasetuksena, vaan käyttäjän on täytynyt valita julkaisevansa tietonsa.
Polar Flow'n tapaus on tietosuojavaltuutetun toimiston tutkittavana, mutta asiaa ei vielä tässä vaiheessa kommentoida.