Borítókép: Wikipédia/saját szerkesztés
Az Észak-Karolinai Állami Egyetem kutatói adatvédelmi kockázatot fedeztek fel a Strava alkalmazás hőtérkép (heatmap) funkciójában, amely a felhasználók lakcímének beazonosításához vezethet.
A Strava egy népszerű GPS-alapú fitnesz alkalmazás, amelynek világszerte több mint 100 millió felhasználója van. Segít az embereknek nyomon követni az edzés közbeni pulzusszámukat, tevékenységük adatait, GPS-helyzetüket és még sok mást.
2018-ban a Strava bevezetett egy “heatmap (hőtérkép)” nevű funkciót, amely névtelenül összesíti a felhasználók (pl.: futók, kerékpárosok, túrázók) aktivitását, annak érdekében, hogy összegyűjtse a különböző túraútvonalakat, ösvényeket vagy épp segítsen biztonságos helyszínt találni az edzések elvégzésére. A kutatók azonban megállapították, hogy ez a funkció lehetőséget teremt a felhasználók rosszindulatú nyomonkövetésére a nyilvánosan elérhető hőtérkép-adatok és a konkrét felhasználói metaadatok felhasználásával.
A sportolók otthonának felkutatása
A kutatók első lépése az volt, hogy egy hónapon keresztül gyűjtötték a Strava hőtérképén keresztül nyilvánosan elérhető adatokat Arkansas, Ohio és Észak-Karolina államokra vonatkozóan. Ezután képelemzéssel megtalálták a felhasználók kiindulási és befejezési (start/stop) pontjait.
Miután a kutatócsoport kiválasztotta a kritériumoknak megfelelő hőtérképes képernyőfotókat, az OpenStreetMaps képeket olyan nagyítási szinten helyezték egymásra, amelyek segítettek az egyes lakcímek azonosításában.
A következő lépésként felkutatták azokat a felhasználókat, akik a regisztráció során megadták a helyszínként a lakóhely szerinti városukat. A hőtérkép végpontjainak és a felhasználók személyes adatainak összehasonlításával a kutatók korrelálni tudták a hőtérképen lévő magas aktivitási pontokat és a felhasználók lakcímét. A nyilvános Strava-profilok időbélyegekkel és távolságokkal ellátott aktivitási adatokat tartalmaztak, amely megkönnyítette a hőtérkép adataival megegyező potenciális útvonalak azonosítását.
Mivel sok Strava-felhasználó valódi névvel-, és profilképpel regisztrál, lehetséges a személyazonosság és a lakóhely korrelációja is.
A kutatók a hőtérkép és egyéb metaadatok összehasonlításával 37,5%-os pontossággal tudták meghatározni a felhasználók kiindulási és befejezési pontját, amely gyakran az otthonukat jelentette.
A Strava adatvédelmének javítása
- Amennyiben a felhasználó egy sűrűn lakott területen él, a Strava hatalmas mennyiségű hőtérkép-adatot kap, amely szinte lehetetlenné teszi a nyomonkövetést.
- Az adatvédelemmel kapcsolatos aggályok enyhítése érdekében a felhasználóknak javasolt akkor elindítani a GPS-alapú edzés nyomonkövetést, amikor elhagyta az otthonát.
- A kutatók azt is javasolják, hogy a hőtérkép támogassa azt a lehetőséget, hogy a felhasználók adatvédelmi zónákat állíthassanak be például az otthonuk közelében.
- A hőtérkép funkció alapértelmezés szerint minden Strava-alkalmazáson aktív, de a felhasználók a beállítások menüpontban kikapcsolhatják.
- Továbbá van lehetőség nyilvános helyett, privátra állítani a felhasználói fiókot, ekkor a regisztrációkor megadott név és egyéb tevékenységadatok is elrejtésre kerülnek.
A BleepingComputer megkereste a Strava-t, hogy kommentálják a cikkük megállapításait, illetve érdeklődtek, hogy a jövőre nézve vannak-e javítási terveik. Az alábbi válasz érkezett:
Közösségünk biztonsága és magánéletének védelme a legfőbb prioritásunk. Régóta bevezetésre kerültek különböző adatvédelmi kontrollok (beleértve a térkép láthatóságának vezérlését), amelyek lehetővé teszik a felhasználók számára, hogy maguk határozzák meg, mit és kivel osztanak meg.
A Strava nem követi a felhasználókat, és nem oszt meg adatokat az engedélyük nélkül. Amikor a felhasználók megosztják az aktivitási adataikat a Heatmap és a Strava Metro segítségével, hozzájárulnak egy olyan egyedülálló adathalmaz létrehozásához, amely megkönnyíti az útvonalak tervezését a közösség számára.
Bármely Strava-felhasználó, aki nem kíván hozzájárulni a Hőtérképhez, kikapcsolhatja vagy alapértelmezetten csak saját maga számára láthatóvá teheti ezt a funkciót.
