2018年初,一家名为Strava的全球知名运动健身应用发布了一张年度全球用户运动热力地图。这张地图的本意是展示全球运动爱好者的活动分布,但很快被国际军事观察家和情报分析人员发现了一个令人震惊的事实:全球多个秘密军事基地、情报站和核设施的位置在地图上清晰可见。在中东某冲突地区,美国特种部队在沙漠中的秘密前哨站因士兵们佩戴智能手环和手机跑步、骑行的轨迹数据,在地图上形成了独特的矩形网格状热力模式,与周边无人区的空白形成鲜明对比。在阿富汗、叙利亚和非洲萨赫勒地区,多个没有公开军事地图标注的基地、防御阵地和巡逻路线均被这张健身热力地图完整揭示。
什么是Strava热力地图?Strava是一款用于记录跑步、骑行等运动轨迹的健身应用程序,用户可以在运动结束后将GPS轨迹上传到云端,经过匿名化处理后汇入全球热力地图。虽然Strava声称对用户数据进行匿名处理,但多个轨迹叠加后形成的热力模式足以暴露敏感地点的精确位置、范围和活动规律。更危险的是,当有军队人员在特定区域高频次运动时,轨迹数据叠加形成的路径轮廓可以直接揭示基地的出入口位置、内部道路布局和哨位分布。
Strava轨迹暴露的泄密链路如下。首要是数据采集环节,执行任务的军人和情报人员在休息时间使用Strava记录跑步或骑行轨迹,这些运动记录包含了精确的GPS坐标、运动时间和运动路径。第二是数据上传环节,StravaAPP在联网后将轨迹数据自动上传至云端服务器,用户不必手动操作。第三是数据聚合环节,Strava将全球用户轨迹数据汇总生成热力地图,虽然处理了单条轨迹的可追溯性,但多条轨迹的叠加效应使得敏感地点的轮廓依然清晰。第四是情报提取环节,第三方人员通过分析热力地图中异常的热力模式,结合公开卫星图像即可识别和确认敏感设施的位置。
企业在使用员工运动管理和办公位置追踪类应用时,面临着与Strava案例同样的风险。当多名员工在同一办公地点使用带有位置记录功能的应用时,这些轨迹数据的聚合效应可能无意中暴露企业的组织架构、重点部门位置和高管行动规律。对于设有研发中心、数据中心或重要实验室的企业来说,轨迹数据泄露可能导致物理安防布局被竞争对手掌握。此外,员工在工作时间之外的出行轨迹同样可能暴露其工作身份和敏感动向。
企业应采取以下措施防范轨迹数据泄露。首要,制定明确的员工个人信息管理政策,禁止在涉密场所和附近区域使用带有GPS轨迹记录功能的应用程序。第二,在涉密区域周边设置电子围栏,当检测到授权设备进入敏感区域时自动关闭位置记录服务。第三,定期对涉密场所周边的公开位置数据进行检查,使用热力地图分析是否存在异常的轨迹集中模式。第四,对高管和涉密岗位人员使用的智能设备和运动应用进行安全评估,必要时强制关闭位置记录功能。第五,建立轨迹数据风险意识培训制度,让员工理解日常使用运动应用、社交打卡和位置分享可能带来的安全后果。
常见问题解答:关闭Strava的公开显示功能是否可以防止轨迹泄露?可以降低个人轨迹被直接关联的风险,但无法防止多人轨迹聚合后在热力地图上形成可识别的轮廓。普通商务写字楼的企业是否也需要关注轨迹泄露风险?如果企业涉及敏感行业、商业秘密或高价值研发,轨迹数据聚合后同样可能暴露核心部门的位置和人员活动规律。关闭智能设备的GPS功能是否就安全了?关闭GPS可以避免精确定位,但WiFi定位和基站定位仍可获取一定精度的位置信息。
北京企密安信息安全技术有限公司为企业提供位置数据安全评估服务,涵盖员工智能设备使用安全审计、涉密场所周边轨迹监测和物理安防策略优化。欢迎访问baomiwang.com或拨打010-63711822,获取更多信息安全解决方案。
