Несмотря на попытки анонимизировать пользовательские данные, фитнес-приложение Strava позволяет найти личную информацию, включая домашние адреса, о некоторых пользователях.
«Пользователи Strava ожидают, что их личная информация будет защищена, и наша работа показывает, что это не всегда так», — говорит Анупам Дас, старший автор статьи о работе и доцент компьютерных наук в Университет штата Северная Каролина.
«Это может быть особенно проблематично для пользователей, которые беспокоятся о преследователях или имеют другие причины желать, чтобы их данные о местоположении были скрыты от общественности».
Strava – это мобильное приложение для отслеживания физической активности, которое позволяет пользователям отслеживать свои занятия спортом, а также включает в себя функции, помогающие пользователям общаться друг с другом. Эти функции можно использовать для организации клубов по общим интересам, таким как пешие или велосипедные прогулки. Например, приложение включает функцию «тепловой карты», которая объединяет пользовательские данные. Хотя все пользовательские данные анонимны, функция тепловой карты позволяет пользователям видеть, сколько других пользователей Strava ходят пешком, бегают или ездят на велосипеде в заданной области.
«Strava подчеркивает, что функция тепловой карты использует только совокупные данные, что должно сделать невозможным сбор личной информации о каком-либо конкретном пользователе», – говорит Дас.
«Однако мы нашли лазейку».
В частности, исследователи обнаружили, что любой может найти пользователей Strava в заданной области. Пользователи также могут просматривать совокупные данные на тепловой карте и видеть, где начинаются и заканчиваются маршруты каждого из анонимных пользователей.
В густонаселенном районе с множеством маршрутов и множеством пользователей данных так много, что отследить конкретного человека будет крайне сложно. Однако в регионах, где мало пользователей и/или мало маршрутов, это становится простым процессом исключения, особенно если человек, которого кто-то ищет, является очень активным пользователем Strava. Даже пользователи, пометившие свои учетные записи как частные, обнаруживаются. когда кто-либо ищет список всех пользователей в данном муниципалитете, поэтому пометка учетной записи как частной не обязательно обеспечивает дополнительную защиту от этой техники отслеживания.
«Мы обратились к Strava по этому поводу, и компания заявила, что не будет делиться данными о тепловых картах, если только несколько пользователей не активны в определенной области», – говорит Кевин Чайлдс, первый автор статьи и бывший студент в штат Северная Каролина. «Однако мы все же смогли определить домашние адреса некоторых пользователей в определенных районах с помощью тепловой карты и подтвердили эту идентификацию, используя данные регистрации избирателей».
Однако пользователи могут кое-что сделать, чтобы защитить свою конфиденциальность. Пользователи могут зайти в настройки своей учетной записи Strava и отказаться от предоставления данных для функции «агрегированного использования данных», что приведет к полному удалению их маршрутов из тепловой карты.
