Bu məqalədə “Strava” idman tətbiqinin necə milli təhlükəsizlik probleminə çevrilə biləcəyindən, təkrarlanan sızmaların arxasındakı struktur problemlərindən və fərdi istifadəçilərin almalı olduğu dərslərdən bəhs edilir.
2026-cı ilin mart ayında bir Fransız dəniz zabiti Fransanın yeganə nüvə təyyarədaşıyan gəmisi olan “Şarl de Qoll”un göyərtəsində səhər idmanına başlayır və performansını “ağıllı saat”ında qeyd etdi. 7 kilometrlik qaçışın məlumatları avtomatik olaraq “Strava” adlı idman tətbiqinə yüklənir. Zabitin profili açıq olduğundan, marşrutu, saat fərqləri və GPS koordinatları da daxil olmaqla bütün məlumatlar onlayn olaraq görünməyə başlayır. Fransanın "Le Monde" qəzeti bu məlumatları peyk görüntüləri ilə qarşılaşdıraraq gəminin Kiprin şimal-qərbində, Türkiyə sahillərindən təxminən 100 kilometr aralıda dayandığını müyyənləşdirib.
ABŞ/İsrail-İran münaqişəsinin ortasında kritik bir dövrdə “Strava” idman tətbiqi Fransanın flaqman gəmisinin real vaxt rejimində məskunlaşdığı yerin geolokasiyasını açıqlayıb.
Lakin bu hadisə nə istisna, nə də ilk hadisədir. 2017-ci ildən etibarən “Strava” gizli hərbi bazaların yerlərini, dövlət başçılarının hərəkət koordinatlarını, sualtı nüvə gəmilərinin məlumatlarını və hətta sui-qəsd cəhdində istifadə edildiyi iddia olunan məkan informasiyalarını açıqlayıb.
“Strava” niyə təhlükəsizliklə bağlı zəif nöqtəyə çevrilir?
“Strava”, rəsmi şirkət materiallarına görə 125-135 milyon istifadəçi bazası olan GPS əsaslı qlobal fitness izləmə və sosial paylaşma platformasıdır. İstifadəçilər qaçış, velosiped sürmə və üzgüçülük kimi fəaliyyətlərini smartfon və ya ağıllı saat vasitəsilə qeyd edir və bu məlumatları ictimaiyyətlə paylaşırlar.
Təhlükəsizlik boşluğunun kökü, istifadəçi görünürlüyü və fəaliyyət paylaşımı “Strava”-da kifayət qədər ciddi şəkildə qorunmadıqda, məlumatların geniş auditoriya üçün əlçatan olmasındadır. İstifadəçilər şüurlu şəkildə məxfilik seçimlərini nəzərdən keçirmədikdə və sərtləşdirmədikdə, yüklənmiş fəaliyyətlərin marşrutu, zaman fərqi və GPS koordinatları başqaları tərəfindən görünə bilər. Bundan əlavə, “Strava”-nın qaynar informasiya xəritələri hər kəsə açıq fəaliyyətlərdən cəmləşən məlumatlardan ibarətdir: bu xəritələr düzgün bağlanmadıqda və ya məxfilik parametrləri kifayət qədər sərtləşdirilmədikdə həssas hərəkət nümunələri rahatlıqla aşkar edilə bilər.
Keçmişdə müəyyən istifadəçiləri və ya təhlükəsizlik işçilərini müəyyən etmək üçün seqmentlərin və oxşar xüsusiyyətlərin sui-istifadə edildiyi hallar olub. Bir sözlə, “Strava” tətbiqində məxfilik istifadəçilərin şüurlu şəkildə müntəzəm olaraq tənzimlədiyi və nəzərdən keçirdiyi bir üstünlükdür: lakin bir çox istifadəçi bu parametrləri heç vaxt dəyişdirmir və ya ümumiyyətlə, standart parametrin nə demək olduğunu bilmir.
Səhrada parlaq cığırlar
“Strava” tətbiqinın təhlükəsizlik zəifliklərinin qlobal miqyasda aşkarlanması 2018-ci ilə təsadüf edir. 2017-ci ilin sonlarında “Strava” tətbiqi "Qlobal İstilik Xəritəsi" adlı interaktiv xəritə dərc edib. Xəritə milyardlarla GPS məlumat nöqtəsindən məlumat toplayaraq istifadəçilərin dünya miqyasında fəaliyyətlərini vizuallaşdırdı. İlk baxışdan, bu, böyük şəhərlərdə məşhur qaçış meydanlarını göstərən məlumatların vizuallaşdırılması idi. Lakin, avstraliyalı təhlükəsizlik analitiki Nathan Ruser mülki əhalinin olmadığı səhra bölgələrində parlayan qaçış marşrutlarını - ABŞ və müttəfiqlərinin Suriya, İraq və Əfqanıstandakı hərbi bazaların yerlərini və perimetr təhlükəsizlik xətlərini aşkar edib. Fransanın Şimali Nigeriyadakı “Madama” bazası da açıq görünən obyektlər arasında olub.
“Strava”nın “İstilik xəritəsi”
2018-ci ildə Nathan Ruserin paylaşılan ekran görüntüsündə mülki əhalinin olmadığı bir ərazidə hərbi bazanın qaçış marşrutlarının “Strava”nın “istilik xəritəsi”ndə görüntüləndiyi vurğulanıb.
Bu ekran görüntüləri “The Guardian”, “The New York Times” və “Wired” kimi beynəlxalq media orqanları tərəfindən geniş şəkildə işıqlandırılıb. İstilik xəritəsi yalnız bazaların yerini deyil, həm də patrul marşrutlarını, logistika marşrutlarını və şəxsi heyətin gündəlik hərəkət qrafiklərini da aşkar edərək paylaşıb. ABŞ Müdafiə Nazirliyi vəziyyəti nəzərdən keçirdiklərini açıqlayıb və tezliklə aktiv hərbi qulluqçular üçün fiziki hazırlıq izləmə tətbiqlərini məhdudlaşdıran yeni qaydalar tətbiq edib.
Gizli bazalardan kəşfiyyat xidmətinə
2018-ci il “istilik xəritəsi” böhranı bazaların yerini aşkar edib. Sonrakı illərdəki müşahidələrdə şəxslərin birbaşa “Strava” vasitəsilə müəyyən edilə biləcəyi də diqqət cəlb edib. 2020-ci ildə açıq mənbəli kəşfiyyat sahəsində aparıcı təşkilat olan “Bellingcat”-ın tədqiqatçısı Nik Uoters, Böyük Britaniyanın ən gizli hərbi obyektlərindən biri olan “Hereford”dakı Xüsusi Hava Qüvvələri bazasında 14 hərbi qulluqçunu yalnız ictimaiyyətə açıq “Strava” tətbiqinin profilləri vasitəsilə müəyyən edib.
2022-ci ildə İsrailin qeyri-hökümət təşkilatı olan “FakeReporter” “Strava” tətqbiqinin təhlükəsizlik zəifliklərini sınamaq üçün bir təcrübə aparıb. Təşkilat altı gizli İsrail hərbi bazasında saxta "seqmentlər" yaradaraq, həmin yerlərdə məşq edən istifadəçilərin profillərinə giriş əldə edib. O dövrdəki təhlükəsizlik parametrlərinə baxmayaraq, personal bu seqmentlər vasitəsilə müəyyən edilib. theguardian
Təcrübə nəticəsində “Mossad” personalları da daxil olmaqla təxminən 100 nəfərin yeri aşkarlanıb.
Sui-qəsd şübhəsi
“Strava”-nın təhlükəsizlik risklərinin ən dramatik və mübahisəli tərəfi 2023-cü ildə ortaya çıxıb. 2023-cü ilin iyul ayında keçmiş sualtı gəmi komandiri Stanislav Rjitski Rusiyanın cənubundakı Krasnodarda səhər yürüşü zamanı silahlı hücüm nəricəsində öldürülüb. Rjitski Ukraynaya qarşı “Kalibr” raket hücumlarında istifadə edilən və mülki şəxslərin itkisinə səbəb olan hücumlarla əlaqəli olan “Krasnodar” sualtı gəmisinin keçmiş komandiri idi.
Təyyarə gəmisinin göyərtəsində qaçış
Bu xronologiyada sonuncu halqa isə 2026-cı ilin mart ayında baş verib. Belə ki, ABŞ/İsrail-İran münaqişəsinin başlamasından sonra Fransa Prezidenti Makron “Şarl de Qoll” təyyarə gəmisi tapşırıq qrupuna 3 martda Baltik dənizindən Aralıq dənizinə keçməsi ilə bağlı əmr verib. Gəmi 9 martda Şərqi Aralıq dənizinə çatıb. 13 mart səhəri gənc dəniz zabiti göyərtədə qaçaraq “Garmin Forerunner 955” “ağıllı saat”ı ilə qeydə alınan 7 kilometrlik fəaliyyətini “Strava” tətbiqinə yükləyib. wired.it
“Le Monde” qəzeti zabitin ictimaiyyətə açıq profilindəki məlumatlardan istifadə edərək gəminin yerini müəyyən edib və 90 dəqiqə sonra çəkilmiş peyk görüntüləri ilə koordinatları təsdiqləyib. Təyyarə gəmisi və onu müşayiət edən gəmilər aydın görünürüb. Gəminin Aralıq dənizindəki mövcudluğu ictimaiyyətə açıqlanmışdı, lakin onun dəqiq yeri məxfi qalmalı məlumat idi. Xüsusən də Kiprdəki Fransa hədəflərinə qarşı İranın təhdidləri ilə bağlı müzakirələr kontekstində bu olduqca vacib idi. Fransa Silahlı Qüvvələri sözügedən tətbiqin “mövcud təlimatlara uyğun olmadığını” bildirib və qeyd edilən zabitə qarşı cinayət işinin başladıldığını da sözlərinə əlavə edib.
Həmin zabitin “Strava” profilinin retrospektiv araşdırılması nəticəsində müəyyənləşib ki, o, fevral ayının sonlarında Kopenhagendə olub. O vaxt “Şarl de Qoll” İsveçin Malmö şəhərində lövbər salıbmış və Kopenhagen ilə Malmö arasındakı körpüdən keçən qaçış marşrutu gəminin yeri ilə üst-üstə düşürdü.
Bir sözlə, tək bir qaçış cizgisi gəminin marşrutunu bir neçə həftə ərzində izləməyə imkan verib.
Fitnes məlumatları və açıq mənbəli kəşfiyyat
“Strava” tətbiqindəki sızmaları yer məlumatlarının açıq mənbəli kəşfiyyat (OSINT) alətinə çevrilməsinin ən məşhur nümunələrindəndir. Tək bir çalışan qeyd öz-özlüyündə zərərsiz görünə bilər; lakin, bu məlumatlar toplandıqda, zaman kəsimi ilə birlikdə təhlil edildikdə və digər açıq mənbələrlə (peyk görüntüləri, sosial media, açıq verilənlər bazaları) çarpaz təsdiqləndikdə, son dərəcə həssas məlumatları aşkar edə bilər. Hərbi bazanın perimetr təhlükəsizlik xətti, sualtı gəminin patrul cədvəli, dövlət başçısının gizli səyahət proqramı - hamısı bu metoddan istifadə etməklə müəyyən edilməkdədir
Bu vəziyyət təkcə hərbi qulluqçuları deyil, həm də jurnalistləri, aktivistləri və hətta adi şəxsləri də narahat edir. “Strava” kimi tətbiqlər tərəfindən toplanan yer məlumatları təqib, izləmə və ya hədəfə almaq üçün sui-istifadə edilə bilər. Fitnes tətbiqlərindən başqa, tanışlıq tətbiqləri, hava tətbiqləri və foto tətbiqləri kimi yer məlumatları toplayan bir çox platforma oxşar risklər yaradır.
“Strava” tətbiqi konkret olaraq rəqəmsal izimizin düşündüyümüzdən daha tez aşkar edilə biləcəyini göstərir.
Fərdi istifadəçilər nə edə bilər?
“Strava” tətbiqindəki təhlükəsizlik pozuntularının struktur təbiətini fərdi səylərlə tam həll etmək mümkün olmasa da, istifadəçilərin öz rəqəmsal izlərini idarə etmək üçün ata biləcəkləri konkret addımlar var.
- Profilinizi “Strava”da "yalnız izləyicilər üçün görünür" olaraq təyin etmək fəaliyyətlərin kütləvi olaraq görünməsinin qarşısını alır.
- Tətbiqin "başlanğıc və sonu gizlət" funksiyası ev və ya iş ünvanları kimi həssas yerlərin aşkarlanmasının qarşısını alır.
- Qlobal İstilik Xəritəsinə məlumatların ötürülməsi parametrlərdə söndürülə bilər. Seqment sıralamalarının rədd edilməsi müəyyən bir yerdə aşkarlanması riskini azaldır.
Həmişə eyni əfsanə
2018-ci ildə Suriya səhrasında qırmızıya çalan qaçış marşrutları ilə başlayan proses 2026-cı ildə Aralıq dənizində təyyarə gəmisinin real vaxt yerinin aşkarlanması ilə davam edir. Son səkkiz ildə eyni təcrübə, eyni standart parametrlər və mahiyyət etibarilə eyni səhv müxtəlif versiyalarda təkrarlanıb. Hər sızmadan sonra xəbərdarlıqlar edilib, araşdırmalar aparılıb və təlimatlar yenilənib; lakin fakt budur ki, bu tədbirlər təsirsiz olub.
“Strava” tətbiqindəki boşluqlar göstərir ki, fərdi məlumatlılıq zəruridir, lakin təkbaşına qeyri-kafidir. Yer məlumatlarının toplanması platformaları "standart olaraq özəl" dizayn fəlsəfəsini qəbul etməli, hərbi və təhlükəsizlik qurumları təhlükəzlik qaydalarından kənara çıxmamalı və məcburi texniki tədbirlər həyata keçirməli, fərdlər rəqəmsal izlərinin onlar üçün nə qədər təhlükəli ola biləcəyini dərk etməlidirlər.
Əks halda, növbəti sızma üçün bir səhər qaçışı kifayət edəcək.
