案件回顾
2018年,一起由健身运动追踪平台引发的定位泄密事件引起了全球安全界的广泛关注。安全研究人员在分析Polar Flow平台的可搜索公开训练档案时发现,大量用户公开的运动记录竟然可以反向定位到世界各地的秘密军事设施和情报人员驻地。
Polar Flow是芬兰运动科技公司Polar旗下的健身数据平台,用户可以通过设备记录跑步、骑行、游泳等运动数据,并将其公开发布在平台上。安全研究人员发现,该平台的"探索"功能允许任何人搜索和查看公开用户档案中的详细运动轨迹,包括精确的GPS坐标、运动路线图和活动时间戳。
研究人员利用这一功能,识别出了多个与军事和情报相关的敏感设施。其中包括美国空军核武器相关基地、海外无人机作战基地、潜艇基地的使用人员,以及巴格达高风险驻地的相关运动记录。更令人担忧的是,通过分析用户档案中的多条轨迹和长期活动规律,研究人员可以从"设施"进一步追溯到"个人"——识别出该名运动者与哪个军事基地关联、住所位置在哪里、每天何时上下班、周末去哪里活动等。
从设施显影到人员重识别的双重暴露
Polar事件的核心风险在于"从设施到个人的双重暴露"。传统意义上的定位泄密往往只关注某一特定设施的位置被公开,但Polar事件揭示了一个更深层的风险——通过公开健身记录,可以建立从"人"到"设施"再到"日常活动规律"的完整画像。
具体来说,攻击者通过以下步骤可以完成这一情报拼图。首要步,在Polar平台上搜索某一敏感设施周边地区的公开运动记录。第二步,逐一查看每条运动记录对应的用户档案,分析其长期活动规律。如果某位用户的工作日运动轨迹从某一特定位置出发、沿固定路线运动后再返回该位置,可以合理推断该位置即为用户的住所。第三步,将用户的住所位置与军事设施的距离进行比较,结合活动时间规律,可以判断该用户是否是该设施的工作人员。第四步,通过分析用户的历史运动轨迹,可以进一步发现用户的其他活动地点——如孩子的学校、常去的超市、周末度假的地点等。
这一方法的杀伤力在于,它不需要任何黑客技术或内部情报,仅凭公开可访问的健身平台数据即可完成情报级别的个人画像重建。
类似事件回顾:Strava热力图泄密
几乎在同一时期,另一家运动平台Strava也发生了类似的定位泄密事件。2017年11月,Strava发布了全球热力图,将用户运动轨迹聚合为热量形式展示在地图上。发布后不久,安全研究人员和军事分析人士就注意到,热力图上出现了大量位于偏远荒漠地带的"运动热点"——这些没有城镇、没有居民区的荒漠中出现运动轨迹,恰好指向了秘密军事基地的所在位置。
阿富汗赫尔曼德省的联军基地、叙利亚境内的美军基地、吉布提的军事设施、美国内华达州神秘的51号区域,都因为附近极个别的几条运动轨迹而在热力图上"暴露"了出来。在几乎没有平民基础设施的荒漠区域,只要有一两个士兵打开Strava记录跑步,就会被热力图清晰地标记出来。
这两个事件共同揭示了一个安全界的共识性判断:健身平台的数据看似无害,但在特定场景中就是"高敏情报源"。
对企业定位安全的警示
Polar和Strava事件对企业的启示非常直接。企业人员——尤其是高管、研发负责人、销售总监等涉密岗位——在使用健身运动平台时,如果不注意隐私设置,无意中就会暴露大量经营相关信息。例如,高管在出差时记录酒店周边的晨跑轨迹,可以暴露其出差目的地和入住酒店;研发人员在家附近记录骑行路线,可以暴露其住所位置;销售团队在客户公司附近的运动记录,可以暴露重要的客户关系。
更需要注意的是,企业车队的运动轨迹同样存在类似风险。如果公司司机使用健身平台记录运动数据,其路线轨迹就可能暴露企业高管的日常出行路线和常去的商务场合。这在本质上和Strava及Polar事件中的"代理定位"机理完全一致——核心对象的定位信息通过其周边人员的公开数据暴露出去。
定位防泄密的系统化方案
针对定位泄密风险,企业和机构应当从管理和技术两个层面进行防护。在管理层面,应当明确要求涉密人员关闭健身平台和运动应用的公开轨迹设置,同时对涉密人员的社交媒体隐私设置进行定期检查和提醒。企业应当将"社交媒体安全"纳入保密培训的内容体系,让员工充分了解公开运动数据的潜在风险。
在技术层面,企业可以考虑为涉密岗位人员提供专业的设备安全检测和隐私配置指导服务。对于经常出差的商务人员,应当进行车辆反定位检测,排查车辆上是否被安装了非授权GPS追踪器。北京企密安信息安全技术有限公司提供车辆反跟踪检测和GPS追踪器排查服务,帮助企业识别并清除车载定位设备,防范因位置泄露引发的商业秘密损失。
如需了解更多车辆检测和反定位技术服务,请致电010-63711822或访问baomiwang.com。
