Big Brother Fitness: como um aplicativo de corrida revelou a localização de uma base militar americana secreta?

Parece que as forças armadas americanas não têm ensinado técnicas de cybersecurity aos seus subordinados. Num vazamento histórico divulgado pela mídia estrangeira[1][2], mapas de bases aéreas americanas desconhecidas, a localização de soldados e suas rotinas diárias foram revelados para o mundo. Para isso, não foi preciso um espião sequer: os militares compartilharam voluntariamente os dados. Mas como isso ocorreu?

O aplicativo fitness Strava – rede social para atletas[3] – acompanha exercícios físicos e percursos de corrida de seus usuários. O programa memoriza horários, ritmos e distâncias por meio do uso de wearable technology, isto é, dispositivos vestíveis como Apple Watch ou Fitbit. Na tendência de outros similares, o aplicativo é popular entre pessoas que, assim como militares, praticam atividade física regularmente e permite que seus resultados sejam publicados em redes sociais.

O que ninguém esperava – ou deveria esperar, segundo o aviso dos sempre ignorados termos e condições de uso[4] – era que os compartilhamentos fossem usados para formar um grande “mapa de calor” com a rotina de seus usuários em todo o mundo.[5] O mapeamento, elaborado em novembro de 2017, mas divulgado apenas na semana passada, reúne cada uma das três trilhões de atividades já compartilhadas no aplicativo.[6] Seu detalhamento é tão refinado que até mesmo a atividade de uma única pessoa pode ser encontrada.

No final de semana passado, analistas militares perceberam que o mapa poderia expor dados sigilosos. Segundo o The Guardian, o estudante australiano Nathan Ruser do Institute for United Conflict Analysts foi o primeiro a enxergar o risco.[7] Se soldados estivessem compartilhando suas rotinas de educação física como todos os outros usuários, posições militares e outras informações sensíveis de inteligência seriam reveladas.[8] James Bond pode se aposentar, pois foi exatamente o que ocorreu.

strava

A localização e o layout de bases militares americanas, russas e de outros países foram entregues ao público sem nenhuma chance de camuflagem. Enquanto na Europa e nos EUA, o mapa apresenta muita atividade, em zonas de guerra afastadas de grandes centros urbanos como Afeganistão, Djibuti e Síria, os postos militares aparecem como faróis no deserto.

Pelos dados de atividade, é possível encontrar e estudar o layout de bases aéreas americanas conhecidas, como Bagram ou Candaar e seus postos avançados no Afeganistão. Entretanto, apesar de estarem ocultas em programas de imagem por satélite como Google Maps, também se notam atividades constantes com traços em formatos típicos de bases militares em locais até então não divulgados pelas forças armadas americanas ou sua inteligência. Para piorar, até mesmo trilhas de ligação e suprimento entre essas bases puderam ser encontradas. Nem a famosa Área 51 escapou da exposição de um ciclista solitário.

Mais gravemente, a localização e os hábitos diários de cada militar usuário do aplicativo podem ser analisados. Embora o Strava não identifique o atleta, pode facilmente ter suas informações cruzadas com outras redes sociais vinculadas, segundo o analista de segurança Tobias Schneider, que afirmou ter identificado os nomes de 573 pessoas que correm todos os dias no quartel-general da inteligência britânica.[9] O fato é grave, pois coloca em risco, não só a segurança nacional dos países, mas também a segurança pessoal de alguém que apenas saiu de seu alojamento para se exercitar entre missões.

Esse tipo de informação é uma mina de ouro estratégica na geopolítica mundial. Com o conhecimento da localização e da planta de bases, rotas de patrulha, linhas de suprimento e trilhas secretas, bem como da rotina militar dos soldados, o local onde se alimentam e dormem, qualquer grupo terrorista ou força armada adversária conseguiria organizar um ataque certeiro com um número significativo de vítimas. Segundo o The Washigton Post, as notícias sobre o vazamento atraíram imediatamente a atenção de radicais em fóruns online utilizados por membros do grupo Estado Islâmico.[10]

Segundo uma porta-voz do Pentágono, Maj. Audricia Harris, o Departamento de Defesa dos EUA orienta seus servidores a limitar a atividade em redes sociais. No dia 29 de janeiro, outro porta-voz, o Cel. Robert Manning III, declarou que as forças armadas americanas estão revisando suas políticas de segurança para evitar uma nova exposição de dados de inteligência[11]. Em 2013, o próprio Pentágono incentivou o uso de aplicativos do gênero para combater a obesidade e distribuiu 2.500 Fitbits.[12] A CIA não comentou o assunto.

O deslize estratégico podia ter sido evitado. Segundo a Strava, o aplicativo contém opções de privacidade para ocultar as atividades do usuário. A empresa já disponibilizava até mesmo uma página na internet para ensinar seus clientes a proteger suas informações privadas[13]. Ou seja, os dados de inteligência não foram de forma alguma obtidos furtivamente. Pelo contrário, os próprios soldados fizeram o compartilhamento ativo e passivo das informações.

O vazamento Strava não é único. Trata-se de mais um caso de compartilhamento de dados privados. Todos os dias, algoritmos de redes sociais, celulares e navegadores acumulam uma quantidade inimaginável de informações pessoais de seus usuários.[14] Pesquisadores da Universidade de Quioto[15] já afirmaram que é possível encontrar a localização precisa de qualquer cliente de sites de relacionamento, mesmo que as opções de privacidade estejam ativadas. Igualmente, o Kromtech Security Center descobriu que alguns sistemas de GPS permitem acompanhar o movimento em tempo real de mais de meio milhão de carros.[16]

Talvez grande parte das pessoas tenha consciência de que sua atividade online é registrada. Entretanto, é bem provável que não conheçam a extensão da devassa nem o valor econômico que o acompanhamento de suas atividades tem para o mercado[17]. Segundo o professor Omri Bem-Shahar, da Faculdade de Direito da Universidade de Chicago, hoje, muitos serviços são pagos com dados, e não com dinheiro. São poucos aqueles que sabem que, com apenas alguns cliques, é possível encontrar em celulares um registro fiel dos locais que seu dono frequentou[18].

Uma solução para o problema parece ser a necessidade de que tais empresas informem ostensivamente seus clientes sobre o risco de divulgação passiva de dados para conscientizá-los. Ou, ainda, que ao iniciar o uso de um aplicativo, todas as opções de privacidade estejam ativadas. Dessa forma, apenas aqueles usuários que desejarem compartilhar informações privadas o farão de forma ativa. Se os planos de cybersecurity das forças armadas mais bem financiadas do mundo estão vulneráveis à divulgação desatenta de dados, o que dizer da privacidade das pessoas comum?

[1] GRIFFIN, Andrew. Strava Fitness Map “Accidentallu Revealed the Location of Secret Military Bases” by Tracking Soldiers’ Movements. Independent, 29 de jan. 2018. Disponível em //www.independent.co.uk/news/world/americas/global-heat-map-us-military-bases-revealed-soldiers-gps-tracking-jogging-fitbit-strava-a8182826.html – Acesso em 30.01.18.

[2] HERN, Alex. Fitness Tracking App Strava Gives Away Location of Secret US Army Bases. The Guardian, 28 de jan. 2018. Disponível em //www.theguardian.com/world/2018/jan/28/fitness-tracking-app-gives-away-location-of-secret-us-army-bases – Acesso em 30.01.18.

[3] STRAVA. Sobre Nós. Disponível em //www.strava.com/about – Acesso em 31.01.18.

[4] STRAVA. Termos de Serviço da Strava. 22 de mai. 2017. Disponível em //www.strava.com/legal/terms – Acesso em 31.01.18.

[5] STRAVA. Global Heatmap. Disponível em //labs.strava.com/heatmap/#6.04/-121.52932/38.58802/hot/all – Acesso em 01.02.18.

[6] ROBB, Drew. The Global Heatmap, Now 6x Hotter. Medium, 1º de nov. 2017. Disponível em //medium.com/strava-engineering/the-global-heatmap-now-6x-hotter-23fc01d301de – Acesso em 01.02.18.

[7] RUSER, Nathan. Twitter, 27 de jan. 2018. Disponível em //twitter.com/Nrg8000/status/957318498102865920 – Acesso 01.02.18.

[8] HERN, Alex. op. cit.

[9] PÉREZ-PEÑA, Richard e ROSENBERG, Matthew. Strava Fitness App Can Reveal Military Sites, Analysts Say. The New York Times, 29 de jan. 2018. Disponível em //www.nytimes.com/2018/01/29/world/middleeast/strava-heat-map.html – Acesso em 30.01.18.

[10] SLY, Liz, LAMOTHE, Dan e TIMBERG Craig. U.S. Military Reviewing Its Rules After Fitness Trackers Exposed Sensitive Data. The Washington Post, 29 de jan. 2018. Disponível em //www.washingtonpost.com/world/the-us-military-reviews-its-rules-as-new-details-of-us-soldiers-and-bases-emerge/2018/01/29/6310d518-050f-11e8-aa61-f3391373867e_story.html?utm_term=.b809cce7b193 – Acesso em 30.01.18.

[11] Id. Ibid.

[12] SLY, Liz. U.S. Soldiers Are Revealing Sensitive and Dangerous Information by Jogging, The Washington Post, 29 de jan. 2018. Disponível em //www.washingtonpost.com/world/a-map-showing-the-users-of-fitness-devices-lets-the-world-see-where-us-soldiers-are-and-what-they-are-doing/2018/01/28/86915662-0441-11e8-aa61-f3391373867e_story.html?utm_term=.a7795e6a0b3e – Acesso em 30.01.18.

[13] STRAVA. Como Gerir a Sua Privacidade no Strava. Strava Histórias, 28 de jul. 2017. Disponível em //blog.strava.com/privacy-14288/ – Acesso em 01.02.18.

[14] AOUN, Joseph E. Robot Proof: Higher Education in the Age of Artificial Inteligence. Cambrige: The MIT Press, 2017, p.57.

[15] HOANG, Nguyan Phong, ASANO, Yasuhito e YOSHIKAWA, Masatoshi. Your Neighbors Are My Spies: Location and Other Privacy Concerns in GLBT – Focused Location-based Dating Applications. ICACT Transactions on Advanced Communications Technology (TACT), Vol. V, 3ª ed., Mai. 2016 – Kyoto University, Quioto, 2016. Disponível em //icact.org/upload/2016/0284/20160284_finalpaper.pdf – Acesso em 01.02.18.

[16] CAMERON, Dell. Passwords to Over a Half Million Car Tracking Devices Leaked Online. Gizmodo, 21 de set. 2017. Disponível em //gizmodo.com/passwords-to-access-over-a-half-million-car-tracking-de-1818624272 – Acesso em 01.02.18.

[17] HARARI, Noah Yuval. Homo Deus: Uma Breve História do Amanhã. São Paulo: Companhia das Letras, 2016, p.370.

[18] APPLE. Sobre a Privacidade e os Serviços de Localização no iOS 8 e Posterior. Suporte Apple, 12 de jan. 2018. Disponível em //support.apple.com/pt-br/HT203033 – Acesso em 01.02.18.

 

Por Fernando Bourguy

Fonte: //www.lexmachinae.com/2018/02/01/big-brother-fitness-como-um-aplicativo-do-corrida-revelou-localizacao-de-uma-base-militar-americana-secreta/

Comentários

Comentários