想不到，隐藏颇深的秘密军事基地被常用手机软件曝光

翻译自荷兰媒体 De Correspondent，长文慎读。

故事第一章：

在荷兰，福克·波斯特马对此很感兴趣。他是开源情 站 Bellingcat 的死忠和志愿者。4月，波斯特马开始使用芬兰公司 Polar 制作的健身应用程序; 他很好奇应用程序将收集哪些关于他的数据。像许多其他用户一样，他在出门前打开应用程序，并且在他回到家之前不会关闭。

Polar 的地图向他展示了他家附近越来越多的跑步者。波斯特马意识到了这意味着什么：如果他公开自己的个人资料，任何人都可以看到他住在哪里。

他的侦探心理变得活灵活现了。他滚动浏览 Polar 的地图，找到了 Volkel，这是一个储存核武器的荷兰军事基地。“这里有一个跑步者，使用了真实姓名记录”。波斯特马缩小并找到慢跑者跑步的其他路线。大多数的记录开始和结束于附近城镇的房子，也就是他们就住在附近。

使用 LinkedIn 搜索，波斯特马得知那个慢跑者是荷兰军方的高级军官。他现在知道了这个人的家庭住址。并且成功地在其他敏感地点重复了这一伎俩。

波斯特马意识到他偶然发现了重大的安全漏洞。他联系了荷兰媒体 De Correspondent 并告诉媒体他所使用的简单技巧。De Correspondent 决定帮助他，因此进一步追究此事。

以下是如何精确定位家庭地址的四个步骤：

当他们放大伊拉克北部的埃尔比勒国际机场时，情况发生了变化。这个机场是几个北约国家的军事基地的所在地，包括荷兰?—?正在帮助库尔德军队与伊斯兰国恐怖组织作战。

---

故事第二章

对于 波斯特马 已经找到的 Volkel 基地的高级官员“Frank”来说（也是化名），间谍和勒索是潜在的严重问题。因为核武器储存在这个基地。有人可以使用 Frank 的身份收集有关基本安全的信息：例如拦截 Frank 的通信，或者榨取机密信息。

---

特勤局

您可能希望情 人员无法追踪，以便牢固掌握操作安全性。事实上，他们的身份在荷兰被归类为国家机密。但 Polar 的应用程序让它成为一块蛋糕，一览无余，随便瓜分。

荷兰军事情 和安全局（MIVD）设在海牙的 Frederik 军营。Polar 清晰地展示了从该建筑物开始及结束的全程锻炼身体的人士们的所有细节。

也许 AIVD 的员工比 MIVD 的员工更了解健身应用带来的风险。或者也许，他们只是不喜欢跑步。

对于一些外国情 机构来说并非如此

美国 络战司令部军官，负责规划 络空间作业;

来自挪威和新西兰的几名外国军人;

美国海军的安全协调员;

美国空军的医疗规划和后勤负责人;

还有一名翻译。

在莫斯科，格鲁乌的人员可能已经暴露了数据。Polar 的地图显示有人在格鲁乌总部的周围跑圈。

并且可以放大使其变得更近。Polar 还显示海拔数据?—?对于在高海拔地区锻炼的人员非常有用。这些数据显示，许多跑步者的训练开始于海拔 300 码。在线地图展示了建筑物的底层从 180 码开始。然后使用 Google 地球专业版，测量建筑物，对比 Polar 提供的信息，最终确定是 23 层楼。

这个人在俄罗斯的 Polar 注册，也在莫斯科南部的健身中心锻炼。俄罗斯搜索引擎 Yandex 透露，该位置属于 对外情 局的一个部门。

可识别人员及其家庭住址的其他站点还包括：

法国驻扎核武器的军事基地;

在布鲁塞尔的北约总部;

巴黎的法国对外安全总局;

其他几个军事基地，包括无人机简易机场，在阿富汗，乍得，古巴，吉布提，德国，伊拉克（包括在巴格达的强化绿区），意大利，马里，尼日尔，巴基斯坦，沙特阿拉伯，塞舌尔，土耳其和阿联酋。

其中最有趣的是 Vught 最大的安全监狱，荷兰最暴力的罪犯都被关押在那里。

---

故事第三章

这里有一点技术性。

假设您要查找 2017 年1月1日至4月1日期间在美国 Smallville 登录的所有健身者。您可以在 Polar 地图搜索框中键入 Smallville，就像在 Google 地图中一样。你会在左边看到一个菜单，让你输入你感兴趣的时间范围。你没看到的是这张地图?—?实际上是一个 络应用程序?—?创建了封装搜索查询的 URL 或 Web 地址。

Polar 使用其唯一 URL 来搜索用户数据库。生成的匹配将发送到前面的地图页面，现在将显示您的搜索结果。地图最多显示20个结果，并无法搜索超过六个月的时间段。

以下是地图对数据库的请求，简而言之：可以访问数据库的页面的 URL +地理区域的 GPS 坐标+“从起始”日期和“到截止”日期。

将地图区域的四个角（在 GPS 坐标中）作为输入;

将这个区域分成更小的部分;

将搜索（2014 年至今）的全部时间划分为三个月的分期;

并将所有这些组合转换为可以在数据库中触发的 URLs。

最终被列出了 200 多个有趣的地点：军事基地，核设施，情 机构办公室和拘留中心。这些 站的 GPS 坐标非常容易找到?—?通常使用谷歌地图，或通过维基百科就可以做到。

通过上述程序运行所有这些位置，并使用生成的 URL 来查询 Polar 的数据库。这样产生了一个大约六万个训练的列表（例如跑步和骑自行车），Polar 已经在这些位置记录了这些锻炼活动。他们中的每一个都会显示该人的唯一用户编 。即使其个人资料已被设置为私人，照样不耽误识别。

最终总共找到了 6,460 位用户。

怎么做？

可以使用 Polar 的唯一用户编 来创建新的 URL，以便搜索所有这些人的个人资料页面。他们中的许多人（大约 90％）填写了自己的名字和城市。其中一些信息无疑是假的。如果有人告诉你他是“Fast Freddie”，你仍然不知道他是谁。但在进行抽查的过程中，居住城市信息几乎总是真实的。

---

尾声和结论

其他应用程序能做到这点吗？

第一个应用程序是 Strava。去年该公司向其用户和军事组织承诺，它将采取措施“更好地保护这类敏感信息”。但这是真的吗？

美国军方的一名检察长，他在关塔那摩湾附近跑了一圈;

伊拉克北部埃尔比勒国际机场的几名美国士兵;

在马里加奥的一个军事基地的几名法国士兵;

还有一位美国分析师在马里兰州的米德堡（Fort Meade）工作，国家安全局就在那里。

简而言之：Strava 完全没有解决它的隐私问题。

测试的另一个应用程序是来自 Under Armour 运动服装品牌的 Endomondo。使用这个应用程序，很容易找到以下内容：

关塔那摩湾的三名警长和一名系统管理员;

米德堡参谋长联席会议顾问;

埃尔比勒国际机场的两名士兵。

故事的教育意义

这虽然是荷兰“福尔摩斯”们在 上的一次追踪，探索的对象也是军事基地，情 机构和特勤人员这些电影中才有的东西，对于我们这些就在街上摆个地摊的老百姓有没有教育意义呢？

其实是有的，我们的生活中离不开各种APP，而这些APP对我们的隐私可以说是索要无度，一个读书 站都可能要求控制我们的摄像头，一个养花应用都要看我们的联系人; 而我们对于这些索取往往是有求必应，殊不知这对我们自己和家人甚至是工作的单位造成了潜在的安全威胁。

慎用APP