Polar Fitness เป็นแอปพลิเคชันฟิตเนสที่พัฒนาโดย Polar ผู้ผลิตอุปกรณ์กีฬาในฟินแลนด์พบว่ามีการเปิดเผยรายละเอียดเกี่ยวกับข้อมูลส่วนบุคคลและด้านอื่น ๆ ของผู้ใช้แอปฯ นี้ กว่าหลายล้านคนทั่วโลก รวมถึงเข้าถึงตำแหน่งของผู้ใช้ด้วย เป็นผลให้บริษัทต้องระงับคุณสมบัติการเข้าถึงตำแหน่งผู้ใช้แอป ฯ เพื่อหลีกเลี่ยงปัญหาอื่น ๆ ที่อาจตามมา ซึ่งเรื่องดังกล่าวถูกเปิดเผยหลังจากมีการสอบสวนร่วมกัน ระหว่างเว็บไซต์ข่าว De Correspondent และ Bellingcat นักวิจัยด้านความปลอดภัย จากการสอบสวนพบว่าปัญหาอาจเกิดจากข้อบกพร่องด้านความปลอดภัยในแอปพลิเคชัน Polar Fitness ซึ่งขณะทดสอบนักวิจัย ฯ สามารถสแกนบัญชีของผู้ใช้กว่า 6,500 คน รวมถึง “เจ้าหน้าที่ทหารหน่วยปฏิบัติการข่าวกรองและผู้ที่ทำงานในสถานที่เก็บอาวุธนิวเคลียร์” ได้

จากการค้นหาข้อมูลเพิ่มเติมพบว่า Polar แสดงภาพผู้ใช้งานทำกิจกรรมออกกำลังกายในแผนที่และเนื่องจากข้อบกพร่องของแอปฯ กิจกรรมของผู้ใช้หลายล้านคนจากกว่า 70 ประเทศตั้งแต่ปี 2014 จึงเกิดความเสี่ยง โดยเฉพาะในสหรัฐอเมริกาที่นักวิจัยฯ สามารถดึงข้อมูลตำแหน่งของบุคคลที่ทำงานให้กับ NSA, FBI, ทหารอเมริกันในอิรักและเจ้าหน้าที่ทหารประจำการที่อ่าวกวนตานาโมและแม้แต่นักบินที่เกี่ยวข้องกับการต่อสู้กับรัฐอิสลามที่เรียกว่า (ISIS / ISIL)

(ภาพซ้าย) ข้อมูลตำแหน่งของผู้ใช้งานแอปที่เนเธอแลนด์ – (ภาพขวา) ข้อมูลตำแหน่งผู้ใช้งานแอปที่ฐานทัพทหารที่ตั้งอยู่ที่ Mali (West Africa)
เครดิตภาพจาก BellingCat

ตัวอย่างสิ่งที่นักวิจัยค้นพบหลังจากใช้ข้อบกพร่องด้านความปลอดภัยในแอปฯ :

  1. ทราบตำแหน่งบุคลากรทางทหารที่คาดได้ว่าน่าจะเป็นสถานที่จัดเก็บอาวุธนิวเคลียร์
  2. บุคคลที่ใช้แอปฯ นี้เพื่อออกกำลังกาย ณ สถานที่หน่วยข่าวกรอง,สถานทูต, ที่บ้านและสถานที่อื่น ๆ
  3. ผู้ที่ทำงานที่ FBI และ NSA
  4. บุคลากรทางทหารที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์, ไอที, การป้องกันขีปนาวุธ, หน่วยสืบราชการลับและหน่วยงานที่สำคัญอื่น ๆ
  5. บุคคลที่ให้ปฏิบัติหน้าที่บนเรือดำน้ำ มีการออกกำลังกายที่ฐานเรือดำน้ำ
  6. บุคคลที่ทำงานด้านการจัดการและความปลอดภัยในโรงไฟฟ้านิวเคลียร์
  7. ซีอีโอของบริษัทผู้ผลิตต่างๆ ที่ออกกำลังกายในสถานที่ทั่วโลก
  8. ชาวอเมริกันใน Green Zone แบกแดด
  9. ทหารรัสเซียในแหลมไครเมีย
  10. บุคลากรทางทหารที่อ่าวกวนตานาโม
  11. ทหารประจำการอยู่ใกล้ชายแดนเกาหลีเหนือ
  12. นักบินที่เกี่ยวข้องในการต่อสู้กับรัฐอิสลาม

Polar ได้ชี้แจงเกี่ยวกับคุณสมบัติของแอปฯ ดังกล่าวแล้ว ได้ระบุชัดเจนว่า “คุณสมบัตินี้ที่บริษัทพัฒนาแอป ฯ ไม่มีเจตนาในการละเมิดด้านความปลอดภัย ละเมิดสิทธ์ผู้ใช้งาน บริษัทยังได้ขออภัยต่อผู้ใช้งานสำหรับการระงับคุณสมบัติการสำรวจ ซึ่งคุณสมบัติการสำรวจนี้มักถูกใช้โดยนักกีฬาทั่วโลกเพื่อแบ่งปันและเผยแพร่การฝึกซ้อมของพวกเขาเอง” อย่างไรก็ตาม Polar จะเร่งดำเนินการแก้ไขคุณสมบัตินี้ให้มีความปลอดภัยและไม่เป็นการละเมิดสิทธ์ผู้ใช้งานต่อไป

ที่มา: https://www.hackread.com/polar-fitness-app-exposed-location-data-of-users-in-military-airbases/



เนื้อหาที่เกี่ยวข้อง

1. Firefox บน Android อาจถูกโจมตีผ่าน WiFi ผู้ใช้งานควรเร่งอัปเดต

2. SunCrypt Ransomware โจมตีและปล่อยข้อมูลผู้ป่วยโรงพยาบาล UHNJ

3. Doxxing กลั่นแกล้งออนไลน์ สู่การคุกคามในชีวิตจริง

4. ช่องโหว่ IOS XR Zero-day กระทบต่อ Router Cisco เสี่ยง DDoS

5. Phishing ใน Microsoft Outlook แฝง QBot Trojan