Arkaluontoisia sijaintitietoja maailmalla levittäneen suomalaisen urheilusovelluksen kehittäjä myöntää virheen – "Se on parannuskohde"
Satojen sotilaiden ja arkaluontoisissa tehtävissä työskentelevien sijaintitietoja levittäneen suomalaisen urheilusovellus Flow’n kehittäjä, sykemittareista tunnettu Polar Electro myönsi maanantaina tehneensä virheen.
Yhtiön strategiapäällikkö Marco Suvilaakso kertoi STT:lle, että sovelluksen hakutoiminnossa oli heikkous, jonka kautta oli mahdollista selvittää sijaintitietoja käyttäjistä, joiden profiili oli yksityinen.
– Tuossa hakutoiminnossa meillä oli yksi heikko kohta. Oli mahdollista löytää User ID -numeron kautta useampia eri treenejä, joita henkilö on tehnyt, vaikka profiili ei siinä julkisena näy. Se on parannuskohde, Suvilaakso sanoo.
Epäkohta koskee Polarin mukaan käyttäjiä, joiden profiili oli yksityinen, mutta jotka olivat julkistaneet harjoittelujensa sijaintitiedot.
Yhtiön mukaan 98 prosenttia sovelluksen käyttäjistä on pitänyt tietonsa yksityisenä eikä ongelma kosketa heitä.
– Mielestäni on reilua, että asiakas pystyy itse tekemään tietoisen päätöksen jakaa tietojaan. Menee mahdottomaksi, jos meidän pitää seuloa, mikä on arkaluontoista ja mikä ei, Suvilaakso sanoo.
Ongelma selvisi Bellingcat-ryhmän, hollantilaisen De Correspondentin ja suomalaisen Long Playn selvityksessä.
Tutkimuksissa kävi ilmi, että Polarin Flow-sovelluksen avulla on mahdollista selvittää satojen sotilaiden ja tiedustelutyöntekijöiden kotiosoitteet ympäri maailmaa.
Työryhmä selvitti muun muassa Yhdysvaltain NSA:n, Britannian MI6:n ja Venäjän GRU:n työntekijöiden henkilöllisyyksiä ja kotiosoitteita.
Työryhmä onnistui kokoamaan yli 6 000 Flow-käyttäjän tiedot.
Long Playn mukaan tietoja oli mahdollista selvittää myös kriisinhallintatehtävissä työskentelevistä suomalaisista.
Eräs esimerkkitapaus oli julkaissut reittitietojaan kurdien itsehallintoalueen Arbilin kaupungista Irakissa vuonna 2016. Long Play jäljitti hänet kotiosoitteeseensa Suomessa.
Polar Electro on poistanut käytöstä Flow-sovelluksen käyttäjätietoja levittäneen Explore-karttatoiminnon.
Yhtiö korostaa, ettei kyse ole tietomurrosta tai vuodosta. Kaikki arkaluontoiset sijaintitiedot ovat strategiapäällikön mukaan käyttäjien itse jakamia.
Flow’n käyttäjien sijaintitietoja ei hänen mukaansa missään vaiheessa julkaistu oletusasetuksena, vaan käyttäjän on täytynyt valita julkaisevansa tietonsa.
Viestintäviraston mukaan tapaus vaikuttaa mediatietojen perusteella tyypilliseltä käyttäjien varomattomuudelta.
– Kyllähän se voi tulla yllätyksenä, jos ajattelee jakavansa vaikka pyöräilykavereille sen, miten pyöräilee, ja tiedot menevät kaikille. Tämä on yleinen internetin ominaisuus. Ihminen ei välttämättä mieti, ketkä kaikki tiedon voivat nähdä, sanoo Viestintäviraston Kyberturvallisuuskeskuksen johtava asiantuntija Jussi Eronen.
– Jos jokin asia voidaan kehittäjän virheeksi luokitella, se on, että yksityiseksi merkittyihin treeneihin on ollut jokin pääsy. Tieto on ollut anonymisoitua, mutta joissain tapauksissa pelkästään reittien perusteella toimittaja on pystynyt identifioimaan ihmisen, Eronen sanoo.
Polar Flow’n tapaus on tietosuojavaltuutetun toimiston tutkittavana, mutta asiaa ei vielä tässä vaiheessa kommentoida. Myöskään Puolustusvoimat ei vielä maanantaina kommentoinut asiaa STT:lle.