# Strava 锻炼记录暴露戴高乐号航母位置
法国航母 Charles de Gaulle 上一名船员在使用 Strava 应用记录跑步时启用了地理定位功能,从而使该舰在地中海的确切位置被公之于众。这一事件发生在 3 月 13 日,地点在塞浦路斯西北约 100 公里处,距土耳其海岸约 100 公里。由于账户是公开的,这些数据对所有用户可见。
Strava 如何泄露军事机密
Strava 会聚合智能手表和智能手机的 GPS 跟踪数据,生成活动热力图。军人经常使用该应用记录健身活动,但公开日志不仅暴露个人路线,还会泄露基地设施、车队和舰船等信息。
在这一案例中,一次持续 35 分钟的航母甲板跑步生成了清晰的轨迹,完全匹配舰体轮廓。该公开账户使用“Arthur”这一化名,使得坐标数据可供任何人分析。《Le Monde》指出,虽然 Charles de Gaulle 在该地区的存在并非机密,但精确坐标会对护航行动和后勤补给构成风险。
健身追踪器时代对 OPSEC 的风险
军人行动安全(OPSEC)正受到消费级应用的威胁。Strava 不仅记录陆上跑步,还记录海上跑步——包括舰上甲板或基地附近。
- 基地热力图:2018 年,Strava 分析暴露了美国在阿富汗和叙利亚的秘密设施。
- 海上轨迹:航母上的跑步勾勒出舰体形状,包括机库和飞行甲板。
- 集体活动:船员活动形成集群,暴露群体规模。
- 时间戳:与演习时间表同步会放大漏洞。
法国国防部确认了这一违规行为:公开 Strava 账户违反了规定。指挥部将采取行动,包括纪律处分。
降低风险的建议
开发者和网络安全专家可以研究这些事件,构建监控工具。
- 账户隐私:将可见性设置为“私有”或“仅限好友”。
- 禁用地理定位:在执勤或设施附近关闭 GPS。
- 企业政策:与 MDM 系统集成,控制设备上的应用。
- OSINT 分析:定期使用 API 或爬虫扫描 Strava 泄露信息。
- 替代方案:使用无云同步的离线追踪器。
在企业环境中,员工健身数据也存在类似风险:HR 政策应涵盖 BYOD 规则。
关键要点
- 精确轨迹:35 分钟跑步暴露航母距土耳其 100 公里的坐标。
- 公开账户:Strava 上的开放访问使数据公之于众。
- OPSEC 违规:法国国防部承认事件,并承诺采取措施。
- 更广泛背景:Strava 此前已泄露美国和北约基地。
— Editorial Team
暂无评论。