מתברר שהכל דלף דרך אפליקצית שיתוף האימונים הפופולרית סטראבה (Strava). החל ממיפוי בסיסי צבא ועד לפרטים אישיים של לוחמי יחידות מיוחדות, מודיעין וטייסים. האויב עשה שימוש במידע אותו שיתפו רצים ורוכבים שעסקו בפעילות בזמן השהיה בבסיסים. כיצד דלף המידע וכיצד ניתן להתגונן? כל הפרטים בפאנל
לאחרונה פורסם איך ניצל האויב את אפליקצית שיתוף האימונים סטרבה STRAVA על מנת להשיג מידע אותו שיתפו רצים ורוכבים במהלך השהיה בבסיסי הצבא והמודיעין. ארגונים זרים הצליחו למפות בסיסי צבא, להשיג את שמות הלוחמים והקשרים החברתיים ביניהם כדי לייצר תמונות מודיעין ומעקב אחרי אנשי מפתח בשירות.
חשיפה של @omerbenj @avischarf ושלי:
גורם עלום מנהל מבצע איסוף מודיעיני על בסיסים ומתקנים רגישים בישראל באמצעות אפליקציית הריצות סטראבה. בעזרת האפליקציה נחשף הגורם לזהותם ולמקום מגוריהם של עשרות חיילים בתפקידים רגישים. מדובר במחדל מתמשך של דליפת מידע מתוך צה"ל, שכן הפרצה מוכרת…
— Bar Peleg (@bar_peleg) October 28, 2024
לאויב לא נדרשו כלי פריצה מתוחכמים. הפעם היה מדובר בשימוש במידע הזמין לציבור כדי ליצור מודיעין שניתן לפעול לפיו. בשפת המודיעין מכונה שיטת האיסוף "OSINT" שפירושה Open Source Intelligence. בפועל די היה בכמה חשבונות פעילים באפליקציה כדי לקבל את המידע האיכותי. החשבון של AHK1 ממש לא התעניין במי שמחזיק את ה KOM בסגמנט "הקטע הארוך צמוד לגדר 8200", אבל בהחלט רצה לדעת את שמות הרצים שפוקדים אותו בקביעות, מתי הם מתאמנים ומי החברים שלהם.
ניצן יסעור, חוקר דיסאינפורמציה ורשתות חברתיות באיגוד האינטרנט מסביר: "בתחקיר שפורסם בעיתון הארץ נחשף כי חשבון פיקטיבי בסטרבה העלה פעילויות מפוברקות מבוססות קבצי gpx מזוייפים שהתחזו לאימונים במתקנים ובסיסים שונים ברחבי הארץ ויצר על בסיסם סגמנטים. משתמשים שרצו בתוך הבסיסים במקטעים אלה "נתפסו" ונחשפו ברשימת התוצאות של הסגמנט."
שיתוף מידע על אימונים בסטראבה מסכן לא רק את כוחות הביטחון
שירות הביטחון נדרש לבדק בית יסודי והמשך מאמצים למניעת דליפת מידע מתוך הצבא וארגוני הביטחון. זוהי משימה קשה בעיקר כשלשכת רוה"מ נתפסה לאחרונה מדליפה בעצמה מידע רגיש, תוך גניבת המידע מתוך מערכות צבאיות סודיות באופן שמסכן את המקורות והצלת החטופים…
בפאנל נתרכז בסיכונים עבור קהילת הריצה והרכיבה בעת שיתוף פעילויות ב-Strava שיכול להוות סיכון, בעיקר בתחום הפרטיות, הבטיחות ואבטחת המידע.
אל תפסידו כתבות מעולות- הצטרפו:
הנה כמה דוגמאות עיקריות:
חשיפה של מיקום ושגרה: שיתוף מסלולים מדויקים יכול לחשוף את הכתובת שלך, מקום העבודה או מקומות שבהם רצים לעיתים קרובות, מה שמקל על אחרים לחזות את השגרה. מידע זה עלול לשמש לתקיפה. בחו"ל היו מקרים של רצות שהותקפו במהלך ריצה אחרי שהתוקף עקב אחרי חשבון הסטרבה שלהן.
מעקב לצורך פריצה וגניבה: חלק מהמשתמשים ב-Strava משתפים פרטים על ציוד בפרופיל או בפוסטים שלהם. הידיעה היכן אדם גר ואיזה ציוד יקר יש לו יכולה להעלות את הסיכון לגניבה מכוונת. בעיקר כשידוע מתי נוהגים לצאת מהבית לאימונים.
פרטיות המידע: Strava אוספת מידע נרחב על מיקום המשתמשים, תמונות, קצב הלב, גובה, משקל ומדדים נוספים. למרות שיש ל-Strava אמצעי אבטחה, כל פלטפורמה עם נתונים אישיים רבים עלולה להיות מטרה לאיומי סייבר, והתוקפים עלולים לעשות שימוש זדוני במידע.
לביצוע מיידי – כללי ההתנהגות בעת שיתוף האימונים בסטראבה
אספנו את כללי ההתנהגות הבסיסים עבור קהילת הרכיבה והריצה אותם יש לבצע באופן מיידי כדי לשמור על הפרטיות ולמנוע ניצול לרעה ודליפת מידע:
שינוי הגדרות פרטיות: השתמשו בהגדרות הפרטיות של Strava כדי להסתיר את נקודות ההתחלה והסיום של הריצות.
הגבלת פרטים משותפים: הימנעו משיתוף ציוד מדויק או מידע מפורט על פריטים יקרי ערך. הרגע רכשתם את הטרק מדון 8 החדשים? יופי, אבל תתאפקו ואל תעדכנו את גרמין וסטרבה.
כנסו לווצאפ של בייקפאנל:
היו סלקטיביים עם הקשרים: התחברו רק לאנשים שאתם מכירים אישית או סומכים עליהם בפלטפורמה. תתפלא, הבלונדינית בת ה 18 מסידני עם תמונת הפרופיל בביקיני לא באמת מתעניינת בתוצאה שלך במרוץ אור יהודה.
שנו מסלולים: זה חשוב לא רק כדי לשפר את הכושר ולהוסיף להנאה באימונים, שברו שגרה, שנו מסלולים והימנעו מלוח זמנים קבוע כדי להקשות על מעקב אחר הדפוסים שלכם.
צעדים פשוטים אלה יכולים לעזור למתאמנים ליהנות משיתוף הפעילויות שלהם ב-Strava באופן בטוח .
.
לא לשכוח לעדכן גם את ההגדרות באפליקציה של גרמין
בשוק שעוני הריצה נתח השוק הגדול ביותר שייך לגרמין משם נתוני האימון עולים לאפליקציה היעודית GARMIN CONNECT לצורך ניתוח ומשם דרך API לסטרבה.
דרכים להקטנת הסיכון ב- Garmin Connect
- הגדרות פרטיות: הגדירו את החשבון כפרטי או הגבילו את החשיפה לחברים בלבד, במיוחד בשיתוף מיקום חי דרך LiveTrack.
- ניהול סיסמאות: השתמשו בסיסמאות קשות לפיצוח ושקלו לאמת את החשבון עם אימות דו-שלבי כדי להגן על המידע האישי.
- הגבלת נתונים משותפים: שקלו איזה מידע ברצונכם לשתף ואיזה פרטים עליכם להימנע מלפרסם, כמו מיקום מדויק או מדדים רפואיים אישיים.
המלצת הפאנל לשיתוף האימונים ברשת החברתית האלטרנטיבית
ביום יום אני עובד בצ'ק פוינט, חברת אבטחת מידע מובילה שנלחמת בתקיפות סייבר. ההמלצה הפשוטה היא להעדיף את רשתות בתי הקפה למפגש חברתי ושיתוף האימונים. שם ניתן להיפגש עם החברים בבטחה, להחליף חוויות תוך מילוי מאגרי הגליקוגן בפחמימות. אין כמו לסיים אימון רכיבת קיץ עם בירה קרה תוך דיון על וואטים וקצבים בעליה. ואם בכל זאת הוחלט לעשות שימוש באפליקציות שיתוף אימונים כמו Strava יש לדעת שהדבר כרוך בסיכונים מסוימים הנוגעים לפרטיות ובטיחות.
שיתוף פעילות ריצה או רכיבה יכול לחשוף מיקומים רגישים, את כתובת הבית, הבסיס או מקום העבודה ומקל על זרים לעקוב אחרי שגרת המשתמשים. בנוסף, פרטי נתוני בריאות ואימון שנאספו יכולים להוות יעד לאיומי סייבר.
כדי להפחית את הסיכונים, מומלץ למשתמשים להגן על החשבונות בסיסמאות מורכבות, להגדיר את החשבון כפרטי, להסתיר את נקודות ההתחלה והסיום של מסלולי האימון, ולהיות זהירים בשיתוף פרטים על הציוד. שמירה על כללים אלו תאפשר המשך הנאה מאימוני הריצה והרכיבה תוך צמצום הסיכוי שתוקפי סייבר יעשו שימוש לרעה בנתונים.
מאת: עמית נבון