Mart 2026'da bir Fransız deniz subayı, Fransa'nın tek nükleer uçak gemisi Charles de Gaulle'ün güvertesinde sabah koşusuna çıktı ve performansını akıllı saatine kaydetti. 7 kilometrelik koşunun verileri otomatik olarak Strava'ya yüklendi. Subayın profili herkese açık olduğu için güzergahı, zaman damgası ve GPS koordinatları da dahil olmak üzere tüm bilgiler internette görünür hale geldi. Fransız gazetesi Le Monde, bu verileri uydu görüntüleriyle karşılaştırarak geminin Kıbrıs'ın kuzeybatısında, Türkiye kıyılarından yaklaşık 100 kilometre uzaklıkta olduğunu tespit etti.
İran-ABD-İsrail çatışmasının yaşandığı kritik bir dönemde, bir spor uygulaması Fransa'nın amiral gemisinin anlık konumunu dünyaya ilan etmiş oldu.
Ancak bu olay ne bir istisna ne de bir ilk. 2017'den bu yana Strava, gizli askeri üslerin konumlarını, devlet başkanlarının hareketlerini, nükleer denizaltı devriye programlarını ve hatta bir suikastte kullanılmış olabileceği iddia edilen konum bilgilerini ifşa etti.
Bu yazıda, bir spor uygulamasının nasıl olup da ulusal güvenlik meselelerine dönüştüğünü, tekrar eden sızıntıların arkasındaki yapısal sorunları ve bireysel kullanıcılar için çıkarılacak dersleri ele alıyoruz.
Strava neden güvenlik açığına dönüşüyor?
Strava, kullanıcı sayısı resmi şirket materyallerinde 125-135 milyon bandında ifade edilen, GPS tabanlı küresel bir fitness takip ve sosyal paylaşım platformu. Kullanıcılar koşu, bisiklet sürme, yüzme gibi aktivitelerini akıllı telefon veya akıllı saat aracılığıyla kaydedebiliyor ve bu verileri toplulukla paylaşabiliyor.
Güvenlik açığının temel kaynağı ise Strava'da kullanıcı görünürlüğü ve aktivite paylaşımının yeterince sıkı ayarlanmadığında verilerin geniş bir kitleye açılabilmesinde yatıyor. Kullanıcılar gizlilik tercihlerini bilinçli biçimde gözden geçirip sıkılaştırmadığı sürece, yüklenen aktivitelerin güzergâhı, zaman damgası ve GPS koordinatları başkaları tarafından görüntülenebilir hale gelebiliyor. Bunun ötesinde, Strava'nın ısı haritaları kamusal görünümlü aktivitilerin toplulaştırılmış verilerinden oluşuyor; bu haritalar uygun biçimde kapatılmadığında veya gizlilik ayarları yeterince sıkılaştırılmadığında hassas hareket kalıplarını görünür kılabiliyor.
Geçmişte ise segmentler ve benzeri özellikler kötüye kullanılarak bazı kullanıcıların veya güvenlik personelinin tespit edilebildiği örnekler ortaya çıktı. Kısacası Strava'da gizlilik, kullanıcının bilinçli bir şekilde ayarlaması ve düzenli olarak gözden geçirmesi gereken bir tercih; ancak pek çok kullanıcı bu ayarları hiç değiştirmiyor ya da varsayılan durumun ne anlama geldiğinin farkında olmuyor.
Çölde parlayan patikalar
Strava'nın güvenlik açıklarının küresel ölçekte farkına varılması 2018 yılına dayanıyor. Strava, 2017'nin sonlarında "Global Heatmap" adını verdiği interaktif bir harita yayınladı. Harita, kullanıcıların dünya genelindeki aktivitelerini milyarlarca GPS veri noktasından derleyerek görselleştiriyordu. İlk bakışta büyük şehirlerdeki popüler koşu parkurlarını gösteren ilginç bir veri görselleştirmesiydi. Ancak Avustralyalı Güvenlik Analisti Nathan Ruser, haritada herhangi bir sivil nüfusun bulunmadığı çöl bölgelerinde parlayan koşu rotaları tespit etti. Bu rotalar Suriye, Irak ve Afganistan'daki ABD ve müttefik askeri üslerinin konumlarını ve çevre güvenlik hatlarını ortaya koyuyordu. Fransa'nın Nijer'in kuzeyindeki Madama üssü de ifşa edilen tesisler arasındaydı.
Keşif, The Guardian, The New York Times ve Wired gibi uluslararası medya kuruluşları tarafından geniş biçimde haberleştirildi. Isı haritası yalnızca üslerin konumlarını değil, aynı zamanda devriye rotalarını, lojistik güzergahları ve personelin günlük hareket kalıplarını da ortaya çıkarıyordu. ABD Savunma Bakanlığı, durumu değerlendirmeye aldığını açıkladı ve kısa süre içinde görevdeki askeri personelin fitness takip uygulamalarını kısıtlayan yeni düzenlemeler getirdi.
Gizli üslerden istihbarat personeline
2018'deki ısı haritası krizi üslerin konumlarını ortaya koymuştu. Sonraki yıllarda ise Strava üzerinden doğrudan bireylerin tespit edilebildiği görüldü. 2020 yılında açık kaynak istihbaratı alanında referans kuruluş olan Bellingcat'in araştırmacısı Nick Waters, İngiltere'nin en gizli askeri tesislerinden biri olan Hereford'daki Özel Hava Kuvvetleri üssünde 14 askeri personeli yalnızca herkese açık Strava profilleri üzerinden tespit etti.
2022'de ise İsrailli sivil toplum kuruluşu FakeReporter, Strava'nın güvenlik açıklarını test etmek amacıyla bir deney yürüttü. Kuruluş, altı gizli İsrail askeri üssünde sahte "segment"ler oluşturarak, bu lokasyonlarda spor yapan kullanıcıların profillerine erişim sağladı. O dönemki güvenlik ayarlarına rağmen segmentler aracılığıyla personel tespit edilebildi. Deney sonucunda Mossad personeli dahil yaklaşık 100 kişi belirlendi.
Bir suikast şüphesi
Strava'nın güvenlik risklerinin en dramatik ve en tartışmalı boyutu 2023 yılında ortaya çıktı. Temmuz 2023'te Rusya'nın güneyindeki Krasnodar şehrinde eski denizaltı komutanı Stanislav Rjitski, sabah koşusu sırasında silahlı saldırıya uğrayarak hayatını kaybetti. Rjitski, Ukrayna'ya yönelik Kalibr füze saldırılarında kullanılan Krasnodar denizaltısının eski komutanıydı ve sivillerin hayatını kaybettiği saldırılarla ilişkilendiriliyordu.
Rus medyasında, saldırganın Rjitski'nin Strava profilini kullanarak onun düzenli koşu güzergahını ve saatlerini belirlemiş olabileceği iddia edildi. Rjitski, gerçek adıyla açık bir Strava hesabı kullanıyor ve neredeyse her gün aynı parkurda koşuyordu. Strava verisinin suikastte doğrudan kullanılıp kullanılmadığı kesin olarak kanıtlanmış değil; ancak olay, bu tür verilerin yalnızca istihbarat açığına değil potansiyel olarak fiziksel güvenlik tehdidine de dönüşebileceğini gösteren ciddi bir uyarı olarak kayıtlara geçti. Ukrayna askeri istihbaratı olayı doğruladı ancak sorumluluk üstlenmedi.
Devlet başkanlarının korumaları açığa çıktı
Ekim 2024'te Le Monde gazetesi, "#StravaLeaks" başlığı altında kapsamlı bir araştırma yayınladı. Gazete, dünya liderlerinin koruma ekiplerinin Strava kullanarak liderlerinin konumlarını istemeden ifşa ettiğini ortaya koydu. Le Monde'un araştırmacıları, 26 ABD Gizli Servis ajanı, 12 Fransız cumhurbaşkanlığı güvenlik personeli (GSPR) ve 6 Rus Federal Koruma Servisi (FSO) çalışanının herkese açık Strava hesapları üzerinden hareketlerinin izlenebildiğini belirledi.
Nükleer denizaltı üssünde sızıntı
Ocak 2025'te Le Monde, aynı araştırma serisinin yeni bir bölümünü yayımladı. Bu kez odak noktası Fransa'nın en gizli askeri tesislerinden biri olan Île Longue deniz üssüydü. Brest yakınlarındaki bu üs, Fransa'nın dört balistik füze taşıyan nükleer denizaltısına ev sahipliği yapıyor ve ülkenin nükleer caydırıcılık politikasının merkezinde yer alıyor. Üste 2 binden fazla personel yüz tanıma tarayıcılarından geçiyor, cep telefonlarını giriş noktalarında özel kutulara bırakıyordu. Ancak akıllı saatler bu güvenlik protokollerinin dışında kalmıştı.
Le Monde'un araştırması, son on yılda 450'den fazla Strava kullanıcısının üste aktif olduğunu ve çoğunun gerçek adlarını ve herkese açık profilleri kullandığını ortaya koydu. Daha kritik olan ise verilerin analiz edildiğinde nükleer denizaltı devriye programlarının çıkarılabilmesiydi. Personelin Strava'da aktif olduğu ve olmadığı dönemler karşılaştırıldığında, denizaltıların ne zaman limanda, ne zaman görevde olduğu belirlenebiliyordu. Bir personel, uzun bir aradan sonra uygulamaya döndüğünde "iki buçuk ay bir çöp kutusunda kaldıktan sonra spora dönmek zor" yazmış ve dalış maskesi emojileri eklemişti; bu paylaşım denizaltı görevini dolaylı olarak teyit ediyordu. Fransız Donanması durumu "sorunlu" olarak niteledi ancak büyük bir risk oluşturmadığını savundu.
Uçak gemisi güvertesinde bir koşu
Bu kronolojinin son halkası Mart 2026'da yaşandı. İran-ABD-İsrail çatışmasının başlamasının ardından Fransa Cumhurbaşkanı Macron, 3 Mart'ta Charles de Gaulle uçak gemisi görev grubunun Baltık Denizi'nden Akdeniz'e yönlendirilmesini emretti. Gemi, 9 Mart'ta Doğu Akdeniz'e ulaştı. 13 Mart sabahı ise genç bir deniz subayı güvertede koşu yaptı ve Garmin Forerunner 955 akıllı saatiyle kaydedilen 7 kilometrelik aktivitesini Strava'ya yükledi.
Le Monde, subayın herkese açık profilindeki verilerden hareketle geminin konumunu belirledi ve bunu 90 dakika sonra çekilen uydu görüntüleriyle doğruladı. Uçak gemisi ve refakat gemileri görüntülerde açıkça seçiliyordu. Geminin Akdeniz'de bulunduğu kamuoyuyla paylaşılmıştı, ancak anlık kesin konumu gizli kalması gereken bir bilgiydi; özellikle İran'ın Kıbrıs'taki Fransız hedeflerine yönelik tehditlerinin tartışıldığı bir ortamda. Fransız Silahlı Kuvvetleri, söz konusu kullanımın "mevcut talimatlara uymadığını" açıkladı ve subay hakkında soruşturma başlatıldığını duyurdu.
Aynı subayın Strava profilinin daha geriye dönük incelenmesi, Şubat ayı sonlarında Kopenhag'da koşu yaptığını gösteriyordu. O tarihlerde Charles de Gaulle, İsveç'in Malmö şehrinde demirliydi ve Kopenhag ile Malmö arasındaki köprüden geçen koşu rotası geminin konumuyla örtüşüyordu.
Yani tek bir koşucunun profili, geminin haftalarca süren güzergahının izlenmesine olanak tanımıştı.
Fitness verileri ve açık kaynak istihbaratı
Strava sızıntıları, daha geniş bir çerçevede konum verilerinin açık kaynak istihbaratı (OSINT) aracına dönüşmesinin en bilinen örnekleri arasında yer alıyor. Tek başına bir koşu kaydı zararsız görünebilir; ancak bu veriler toplandığında, zaman serisi halinde analiz edildiğinde ve diğer açık kaynaklarla (uydu görüntüleri, sosyal medya, açık veri tabanları) çapraz doğrulandığında son derece hassas bilgiler ortaya çıkarabiliyor. Bir askeri üssün çevre güvenlik hattı, bir denizaltının devriye takvimi, bir devlet başkanının gizli seyahat programı, hepsi bu yöntemle belirlenebilmiş.
Bu durum yalnızca askeri personeli değil, gazetecileri, aktivistleri ve hatta sıradan bireyleri de ilgilendiriyor. Strava gibi uygulamaların topladığı konum verileri, taciz, takip veya hedefleme amacıyla kötüye kullanılma potansiyeli taşıyor. Spor uygulamalarının ötesinde, flört uygulamaları, hava durumu uygulamaları ve fotoğraf uygulamaları gibi konum verisi toplayan birçok platform benzer riskleri barındırıyor.
Strava vakaları, dijital ayak izimizin düşündüğümüzden çok daha fazlasını anlattığını somut olarak gösteriyor.
Bireysel kullanıcılar ne yapabilir?
Strava'daki güvenlik sızıntılarının yapısal boyutu bireysel çabayla tam olarak çözülemese de kullanıcıların kendi dijital ayak izlerini kontrol altına almak için atabileceği somut adımlar var. Strava'da profili "yalnızca takipçilere görünür" olarak ayarlamak, aktivitelerin herkese açık görünmesini engeller. Uygulamanın "başlangıç ve bitiş noktasını gizle" özelliği, ev veya iş adresi gibi hassas konumların ortaya çıkmasını önler. Küresel Isı Haritası'na veri aktarımı ayarlardan kapatılabilir. Segment sıralamalarından çıkmak ise belirli bir konumda tespit edilme riskini azaltır.
Hep aynı nakarat
2018'de Suriye çölünde parlayan koşu rotalarıyla başlayan süreç, 2026'da Akdeniz'deki bir uçak gemisinin anlık konumunun ifşasıyla devam ediyor. Arada geçen sekiz yılda aynı uygulama, aynı varsayılan ayar ve temelde aynı hata farklı ölçeklerde tekrarlandı. Her sızıntının ardından uyarılar yayınlandı, soruşturmalar açıldı, rehberler güncellendi; ancak bunların faydalı olmadığı bir gerçek.
Strava vakaları, bireysel farkındalığın gerekli ama tek başına yetersiz olduğunu ortaya koyuyor. Konum verisi toplayan platformların tasarım felsefesinde "varsayılan olarak gizli" ilkesinin benimsenmesi, askeri ve güvenlik kurumlarının rehber yayınlamanın ötesine geçerek bağlayıcı teknik önlemler alması ve bireylerin dijital ayak izlerinin ne kadar konuşkan olabileceğinin farkına varması gerekiyor.
Aksi takdirde, bir sonraki sızıntı için yalnızca bir sabah koşusu yeterli olacak.
