استطاعوا تحديد هوية 6400 ضابط في المخابرات الأميركية والبريطانية والفرنسية والروسية

مراسلون: تطبيق «بولار» لتتبع اللياقة البدنية يسرب بيانات العسكريين في العالم

المصدر:

القاهرة ــ الإمارات اليوم

التاريخ: 11 يوليو 2018

ظهرت أخيراً أزمة جديدة وحساسة وغير مسبوقة في مجال أمن المعلومات، إذ تبين أن تطبيق «بولار» لتتبع اللياقة البدنية، الذي يستخدمه عشرات الملايين في العالم عبر هواتفهم الذكية المحمولة، يقوم بإنتاج وإتاحة بيانات من شأنها الكشف وتحديد هوية الضباط والعاملين بأجهزة المخابرات والقواعد العسكرية والجيوش في العالم، فضلاً عن مكان إقامتهم، ومقار عملهم، وتوقيتات ممارستهم للرياضة، من خلال البيانات المعلنة التي يعرضها التطبيق على «خريطة اللياقة» التابعة له، التي تعرض بيانات وأعداد المستخدمين للتطبيق في العالم، وعبر «واجهة تطبيقات البرمجيات» التي يتيحها التطبيق للمبرمجين والمطورين لاستخدامها في تطوير وإنشاء خدمات مبنية على بيانات هذا التطبيق.

التطبيق يتيح المعلومات من خلال ما يعرضه على «خريطة اللياقة»، وعبر «واجهة تطبيقات البرمجيات».

سياسات أمنية

قال المتحدث باسم مكتب مدير الاستخبارات الوطنية، تشارلز كاريثرز، الذي يشرف على أجهزة الاستخبارات الأميركية ووكالاتها: «نحن ندرك الآثار المحتملة للأجهزة التي تقوم بجمع البيانات الشخصية ومواقعها والإبلاغ عنها»، مشيراً إلى أن «طريقة استخدام أجهزة اللياقة الشخصية والأجهزة المماثلة من قبل الأفراد التابعين للحكومة الأميركية، يتم تحديدها من قبل كل وكالة وقسم على حدة».

من جهته، قال المتحدث باسم وكالة الأمن القومي الأميركية، براين فريلاند، إن «الوكالة تطبق وتنفذ سياسات تتعلق باستخدام أجهزة لياقة يمكن ارتداؤها داخل مناطق عمل خاضعة للرقابة، وإضافة إلى ذلك، لدينا حملة تعليمية مستمرة للعاملين، تركز على العلاقة بين التكنولوجيا والخصوصية والأمن».

وتم الكشف عن هذه الأزمة، أول من أمس، من قبل فريق من المراسلين والعاملين بالتحقيقات الاستقصائية في كل من صحيفة «دي كورسينتد» وموقع «بيلنج كات فاوند» في هولندا، ثم انضم إليهما فريق من مراسلي ومحققي شبكة «زد دي نت» الأميركية المتخصصة في التقنية.

ويوفر تطبيق «بولار فلو»، الذي أنتجته شركة «بولار» الفنلندية المتخصصة في إنتاج وبيع أجهزة تتبع اللياقة البدنية، تتبع أنشطة المستخدمين بالاستعانة بنظام تحديد المواقع العالمي «جي بي إس»، لمن يرغب، حيث تظهر هذه الأنشطة على ما يسمى بخريطة الاستكشاف التابعة للتطبيق. لكن هذا الأمر متاح كميزة وليس كنقطة ضعف أمنية أو كمشكلة تتعلق بالخصوصية، لأن الأمر يعود إلى المستخدم ورغبته في نشر بياناته وسجل تتبع لياقته البدنية مربوطاً بالموقع من عدمه، فضلاً عن إمكانية الوصول إليها من قبل أي شخص، وبالتالي فمشكلة الخصوصية تقع على المستخدم وليس على التطبيق، وفقاً لسياسة الخصوصية التي تتبعها الشركة.

أجهزة حساسة

وأفاد فريق المراسلين بأنه استطاع تحديد هوية 6400 ضابط مستخدم للتطبيق في العالم، يعتقد أنهم يعملون في مواقع وأجهزة حساسة، من بينها وكالة الأمن القومي الأميركية، والبيت الأبيض، وجهاز الاستخبارات البريطاني «إم 16»، ومركز احتجاز «غوانتانامو» في كوبا، إضافة إلى مقر جهاز استخبارات «جي سي إتش كيو»، في مدينة شلتنهام، ومقر جهاز الاستخبارات الفرنسي في باريس، إلى جانب مقر المخابرات الروسية في موسكو، مشيراً إلى أنه تم أيضاً رصد الموظفين في مرافق التخزين النووي، ومواقع الصواريخ، والسجون.

وأوضح الفريق أنه جرى الكشف عن هذه المشكلة عبر أشياء عدة يتيحها التطبيق، منها أنه يسمح لأي شخص بالوصول إلى أنشطة اللياقة البدنية الخاصة بالمستخدم على مدار سنوات عدة مضت عن طريق تعديل عنوان الـ«ويب» الذي يظهر بالمتصفح، وبالتالي يمكن الوصول إلى السجلات التاريخية لجلسات التريض، ومتابعة اللياقة التي يقوم بها الشخص على مدار سنوات، لافتاً إلى أنه بالفعل أمكن الوصول إلى بيانات تعود إلى عام 2014.

وأضاف أن من الأشياء الأخرى أيضاً أن التطبيق يسمح بالوصول إلى سجلات البيانات الخاصة بمستخدميه عن طريق «واجهة برمجة التطبيقات» المخصصة للمطورين، واستخدامها في استرداد أنشطة اللياقة البدنية، كما أن التطبيق يسجل إحداثيات المواقع التي يمارس فيها الشخص جلسات اللياقة البدنية عبر نظام تحديد المواقع.

لا قيود

وأشار الفريق إلى أنه في ضوء البيانات التاريخية واليومية وبيانات الموقع، كان من الممكن العثور على أسماء الذين يتتبعون أنشطة اللياقة البدنية الخاصة بهم، التي يعود تاريخها إلى عام 2014، ومكان ممارسة المستخدم بالضبط، علاوة على تحديد المكان الذي يعيش فيه، أو إذا كان قد بدأ أو أوقف تتبع اللياقة البدنية بمجرد مغادرة منزله.

وتابع أنه يضاف إلى ذلك عدم وجود أي قيود على عدد الطلبات التي يمكن تقديمها للتطبيق للحصول على البيانات الخاصة بالمستخدمين، لذا كان من الممكن لأي شخص أن يستخلص بيانات أنشطة اللياقة البدنية الخاصة بالملايين من مستخدمي التطبيق.

معلومات خاصة

وذكر فريق المراسلين أن التحليلات التي أجريت على بيانات التطبيق كشفت أن بالإمكان الوصول إلى بيانات الأشخاص في الأماكن الحساسة والمهمة، حتى في حال ضبط ملفاتهم الشخصية بالتطبيق على وضعية «البيانات الخاصة» غير المسموح بمعرفتها.

وبين أن البيانات أتاحت معرفة ليس فقط مكان ممارسة المستخدم للرياضة، بل تحديد المكان الذي يعيش فيه، واسمه، وما إذا كان قد بدأ أو أوقف تتبع اللياقة البدنية بمجرد مغادرة منزله، وبناء «صورة واضحة مقلقة» لحياة هذا الشخص.

ولفت إلى أن من أخطر الجوانب التي أظهرتها التحليلات، أن تطبيقات وأجهزة تتبع اللياقة التي يستخدمها الأفراد العسكريون تكشف المعلومات الخاصة بالطرق السرية بين القواعد في ساحة المعركة.

وأوضح أنه في المناطق ذات الكثافة السكانية العالية، مثل البيت الأبيض، يرتفع عدد الأشخاص العاديين الذين يراقبون لياقتهم القريبة، ما يزيد من الضوضاء غير المرغوب فيها في البيانات، لكن في حال المعسكرات المعزولة والقواعد الحكومية يقل مستوى الضوضاء، فيتم الوصول إلى نتائج أفضل.

وقال محررو شبكة «زد دي نت»، إنهم تعقبوا شخصاً يمارس اللياقة البدنية بالقرب من مقر جهاز الأمن الوطني الأميركي، حيث بدأ المستخدم تتبع تمارينه عندما غادر منزله في ولاية فرجينيا، ومن خلال السجلات العامة بالتطبيق، تم تحديد اسمه ودوره كمسؤول عسكري كبير، مشيرين إلى أنه حدث الشيء نفسه مع شخص آخر يعمل موظفاً في وكالة الأمن القومي «إن إس إيه».

رد الشركة

من جهتها، أصدرت شركة «بولار» بياناً نفت فيه أي تسرب أو خرق لأنظمتها، مؤكدة أن قرار الاشتراك في جلسات التدريب ومشاركة بيانات الموقع الجغرافي هو اختيار المستخدم ومسؤوليته.

وقالت إنها تدرك أن المواقع الحساسة المحتملة تظهر في البيانات العامة، مشيرة إلى أنها اتخذت قرار تعليق واجهة برمجة التطبيقات للاستكشاف مؤقتاً إلى حين مراجعة الأمر. وذكرت أن معظم مستخدمي تطبيق «بولار» يحافظون حالياً على الإعدادات الشخصية الافتراضية الموجودة في التطبيق، إلى جانب إعدادات البيانات الخاصة التي تحمي الخصوصية.

تويتر