Selvitys: Suomalaisen Polarin fitness-sovellus on paljastanut satojen sotilaiden liikkeitä

Long Playn mukaan Suomen tietosuojavaltuutettu tutkii nyt Polarin Flow-sovelluksen ongelmia. Kuva: Lehtikuva / Timo Jaakonaho

STT

Suomalaisen Polarin fitness-sovellus Flow on paljastanut käyttäjiensä arkaluonteisia sijaintitietoja, selvisi suomalaisen Long Playn, hollantilaisen De Correspondentin ja kansalaisjournalistien Bellingcat-ryhmän tutkimuksissa.

Tutkimuksissa kävi ilmi, että Flow-sovelluksen datan avulla on mahdollista selvittää satojen sotilaiden ja tiedustelutyöntekijöiden kotiosoitteet.

Työryhmä löysi nimiä ja kotiosoitteita useiden eri valtioiden tiedustelupalvelujen ja salaisten palvelujen työntekijöille. Heidän joukossaan oli muun muassa Yhdysvaltojen NSA:n, Britannian GCHQ:n ja MI6:n sekä Venäjän GRU:n työntekijöitä. Mukana oli myös useita suomalaisia, jotka ovat urheilleet kansainvälisten sotilasoperaatioiden keskuksissa.

Flow-sovelluksen käyttäjiä löytyi useista sotilastukikohdista, muun muassa Pohjois-Irakin Erbilistä, Kuuban Guantanamo Baysta ja Malin Gaosta.

Työryhmä onnistui kokoamaan yli 6 000 Flow-käyttäjän tiedot. Suuri osa paljastuneista tiedoista löytyi sovelluksen julkisesta kartasta. Kuitenkin työryhmä pääsi käsiksi myös sellaisten käyttäjien tietoihin, jotka eivät olleet tehneet käyttäjäprofiileistaan julkisia.

Tietosuojavaltuutettu tutkii asiaa

Työryhmä kertoi löydöistään Polarille kaksi viikkoa sitten. Perjantaina julkaisemassaan lausunnossa Polar sanoo, ettei se ole vuotanut mitään tietoja ja ettei yksityisiin tietoihin ole murtauduttu. Polar sanoo olevansa tietoinen, että potentiaalisesti arkaluonteisia sijaintitietoja ilmenee julkisessa datassa. Yhtiö kertoo päättäneensä väliaikaisesti poistaa sovelluksesta mahdollisuuden tarkastella muiden käyttäjien suorituksia kartalla.

Long Playn mukaan Suomen tietosuojavaltuutettu tutkii nyt Flow-sovelluksen ongelmia. Long Play ennakoi, että tapauksesta voi tulla ensimmäinen kaupallisen sovelluksen tietoturvaan liittyvä ongelma, johon sovelletaan EU:n tietosuoja-asetusta.

Työryhmä aloitti tutkimuksensa sen jälkeen, kun yhdysvaltalaisen Strava-kuntoilusovelluksen julkistamasta datasta oli tammikuussa paljastunut tietoja Yhdysvaltojen sotilastukikohtien sijainnista ja sotilaiden liikkeistä. Arkaluonteisia tietoja oli tuolloin paljastunut sotilaiden käyttämien aktiivisuusrannekkeiden vuoksi.