Santahaminan upseerikerho tarjosi ”solidia pilsneriä” – Olutsovellus paljasti sotilaiden liikkeet, mutta jopa sään tarkkailu voi olla tietoturvariski - Ulkomaat | HS.fi
Ulkomaat|HS-analyysi

Santahaminan upseerikerho tarjosi ”solidia pilsneriä” – Olutsovellus paljasti sotilaiden liikkeet, mutta jopa sään tarkkailu voi olla tietoturvariski

Aiemmin sotilaat kärähtivät paikkatiedoista lenkkeilysovelluksessa, nyt on vuorossa oluenmaistelusovellus. Toisinaan ei tarvita edes yksittäistä sovellusta, niin monesta kolosta tietoa vuotaa.

Nimimerkin Suomen-matka läheni loppuaan. Matkaan oli kuulunut Santahaminan upseerikerho, ja monet muut oluenmaistelukohteet ovat sijainneet erilaisten sotilasliitto Naton kohteiden kuten päämajan lähistöllä.

Julkaistu: 21.5. 18:31, Päivitetty 22.5. 11:06

”Aika solidi pilsneri. Ei mitään erikoista, mutta hyvää”, kirjoitti nimimerkki Untappd-olutsovellukseen viime marraskuussa. Hän oli tilannut Helsingin sotilassaari Santahaminan upseerikerholla Aura-olutta.

Santahaminan upseerikerho ei ole mikä tahansa pubi. Se ei nimittäin ole avoinna yleisölle. Kyseinen kerho on Suomen puolustusvoimien upseerien käytössä oleva yksityinen tilausravintola. Santahaminassa työskentelevät suomalaisupseerit tapaavat kestitä vieraitaan epämuodollisesti juuri upseerikerholla.

Ennen Suomen-matkaansa sama nimimerkki oli piipahtanut Azerbaidžanissa ja nauttinut pari hotellin baarissa. Sitten hän joi blond-oluen Restaurant Les Grands Présissa Belgian Monsissa.

Helmikuussa mies arvosteli oluita Antwerpenissa, sitten Oslon lentokentällä ja Norjan Stavangerissa. Stavangeria seurasi Leffe Plaza Belgian Monsissa.

Sotilasliitto Naton Euroopan-päämajasta on Leffe Plazaan noin seitsemän kilometriä. Norjan Stavangerissa taas sijaitsee Naton yhteisoperaatiokeskus, etäisyyttä Sport Cafe -ravintolaan on kymmenen kilometriä.

Nimimerkin matkakohteet ovat vähintäänkin eksoottisia ja herättävät kysymyksiä hänen ammatistaan. Ehkä esimerkin nimimerkki on sotilas?

Esimerkin etsi Untappd-sovelluksen tiedoista Helsingin Sanomat. Aikaa kului varttitunti.

Avoimiin lähteisiin erikoistunut selvitysryhmä Bellingcat tutustui Untappdiin paljon tarkemmin ja julkaisi löytönsä tiistaina. Untappdilla on noin kahdeksan miljoonaa käyttäjää. He ovat enimmäkseen Yhdysvalloista ja Euroopasta.

Käyttäjien joukosta Bellingcat onnistui tunnistamaan esimerkiksi Yhdysvaltojen armeijan lennokkilentäjän ja hänen työhönsä liittyvät sotilastukikohdat sekä Yhdysvalloissa että ulkomailla. laivastoupseerin, jolla oli asiaa sekä pahamaineiseen Guantanamon pidätyskeskukseen että Yhdysvaltojen puolustusministeriöön sekä tiedusteluvirkailijan, jolla oli yli 7 000 paikkamerkintää.

Santahaminan upseerikerholle on tehty yhteensä 60 paikkamerkintää, eli käyttäjä on merkinnyt olevansa kyseisessä paikassa nauttimassa jotain panimotuotetta. Riihimäellä sijaitsevalla Viestirykmentin upseerikerholle on jätetty 19 paikkamerkintää. Varuskuntaravintoloita löytyy useita ympäri Suomen.

Bellingcat keskittyi erityisesti Yhdysvaltojen keskustiedustelupalvelu CIA:n koulutuskeskuksenakin käytettyyn Camp Pearyyn ja lähetystöihin sekä tukikohtiin Lähi-idässä.

Kun löysi yhden ihmisen, hänen reittiensä kautta pystyi löytämään lisää sotilaskohteita. Lopulta löytyi oluenjanoisten käyttäjien julkiseen sovellukseen lisäämiä kuvia F-16-hävittäjistä, omista luottokorteistaan ja kulkuluvistaan työpöydällä sekä puolustushallinnon tarkastusasiakirjoja. Etualalla oli olutpullo.

Kerta ei ole ensimmäinen, kun sotilaista ja sotilaskohteista vuotaa arkaluontoista dataa. Kaksi vuotta sitten paikkatietojen karkailua havaittiin liikuntasovellus Stravasta, ja pian sen jälkeen suomalaisen Polarin Flow-sovelluksesta.

Venäläiset sotilaat lenkkeilivät Ukrainalta vallatulla Krimillä. Amerikkalaiset sotilaat hölkkäsivät ydinasetukikohdan ympärillä.

Esimerkiksi anonyymisti Irakissa hölkkäävä sotilas piirsi Flow-sovelluksen karttaan ympyrän, ja kun sijaintia tarkasteli lähemmin, löytyi pikkuinen sotilastukikohta keskeltä kurdien, Irakin joukkojen ja terroristijärjestö Isisin välisiä sotatoimia.

Mikä tässä on pielessä? Ei minulla ole mitään salattavaa, ajattelee moni.

Leikitään hetki, että olet Isis-terroristi, joka haluaa räjäyttää amerikkalaiset. Kuinka helppoa olisi surmata sotilas, jonka lenkkeilyreitti kulkee aavikolla tiistaina ja torstaina samaa kartalle piirtyvää kahdeksikkoa ja maanantaina, keskiviikkona ja perjantaina taas samaa ympyrää?

Voit olla myös venäläinen tai yhdysvaltalainen vakooja, joka haluaa käräyttää vastapuolen sen suhmuroinneista. Menisitkö itse salaisiin tapaamisiin aktiivisuusranneke kädessä?

Kuntoilusovelluksista tietovuodot on sittemmin paikattu, mutta ikävä kyllä se ei riitä.

Norjan yleisradioyhtiö NRK julkaisi maanantaina laajan artikkelin, jossa se kertoi ostaneensa läjän kaupalliseen käyttöön tarkoitettua paikannusdataa. 140 000 norjalaisen älypuhelimen ja tabletin tarkat sijaintintiedot vuodelta 2019 maksoivat noin 3 200 euroa. Joukosta toimittajat tunnistivat Norjan puolustusvoimien erikoisjoukkojen tukikohdan henkilökuntaa, sotilasliitto Natolle työskentelevän everstin, ulkomaankomennuksella olleen upseerin ja useita muita jokaisesta puolustusvoimien aselajista.

Datasta löytyi yhteensä 7 000 Norjan puolustusvoimien työntekijää tarkoittavaa yksilöidyllä koodilla merkittyä tunnistetietoa. 7 000 eri android-puhelinta, iPadia, iPhonea ja muita vastaavia laitteita, joihin asennetaan sovelluksia.

NRK hankki datan Britanniaan rekisteröidyltä Tamoco-nimiseltä yhtiöltä, joka mainostaa sivuillaan myyvänsä paikkatietoa markkinointi-, sijoitus-, ja kaupunkisuunnittelukäyttöön. NRK ei selitä, miten data Tamocolle vuotaa, mutta todennäköisesti se tapahtuu sovellusten kehittämisessä käytettävien SDK-tuotekehityspakettien kautta.

SDK, eli software development kit, on sovelluskehittäjien käyttöön tarkoitettu valmis koodien ja toiminnallisuuksien paketti. Niitä käyttämällä mobiilisovellusten kehittäjät säästävät vaivaa, kun kaikkea ei tarvitse koodata alusta alkaen itse. Tamoco myös mainostaa sivuillaan, että heidän tarjoamansa SDK on alan huippua.

Tiedustelupalvelut käyttävät paikkadataa vakoilussa melko varmasti, arvioi NRK:lle Britannian King’s Collegen kybersotaan erikoistuneen yksikön johtaja.

”Sellaisen tiedon ostaminen, joka mahdollistaa luottamuksellisissa ja aroissa tehtävissä työskentelevien ihmisten tunnistamisen on asia, jota ei varmaankaan ole otettu vakavasti kansallisesta turvallisuudesta vastaavien viranomaisten työssä”, sanoi King’s Collegen Tim Stevens.

Oikeastaan älypuhelinten aiheuttamia riskejä on kyllä mietitty.

Norjan puolustusvoimilla on ohjeet sosiaalisessa mediassa toimimisesta kuten Suomenkin puolustusvoimilla. Suomen puolustusvoimilla on ohjeet paikkatietojen jakamisesta töissäkin, eikä työsähköpostia saa yhdistää vapaa-ajan sovelluksiin. Puolustusvoimilla on työtiloja, joihin puhelimia ei saa viedä, mutta kaikkein vakavimmin älylaitteiden riskeihin suhtautuu Yhdysvaltojen keskustiedustelupalvelu CIA. Saapuessaan CIA:n päämajaan Langleyssa Virginian osavaltiossa työntekijät on määrätty jättämään laitteet joko kokonaan kotiin tai parkkipaikalle autoon.

Vapaa-ajan käyttö on kuitenkin jokaisen oma asia, ja mobiili ei olisi mobiili ellei sitä kuljetettaisi mukana. Hyvä nyrkkisääntö on, että sovelluksille ei kannata antaa laiteasetuksista lupaa käyttää paikkatietoa.

Mutta toisinaan ohjeita noudattavakaan ei ole turvassa, sillä sovellukset pettävät käyttäjiään. Esimerkiksi sääsovellus Accuweather on jäänyt kiinni siitä, että se haali paikkatietoa käyttäjistä silloinkin, kun käyttäjät eivät olleet antaneet lupaa jakaa sijaintiaan. Useat sovellukset ovat myös kärähtäneet siitä, että ne ovat myyneet käyttäjiensä tietoja eteenpäin varoittamatta asiasta. Tässä muutama: keskustelufoorumisovellus Tapatalk, kuvasäilö Photobucket, parkkimaksusovellus Paybyphone.

Tämä voi sattua kenelle tahansa, ei pelkästään sotilaille. Heidät vain tavataan nostaa esiin, koska heidän tekemisiään pidetään valtion turvallisuuden kannalta keskeisinä. Tiedustelupalveluiden työntekijöiden taas ei vain odoteta kertovan itsestään mitään.

Rahaa vastaan saatavilla olevan paikkadatan kautta piirtyvä kuva on surullinen. Näin haavoittuvia ovat jopa ne organisaatiot, joiden kuuluu osata suojata itsensä.

Sitten on vielä janoisten sankari, olutsovellus Untappd.

Untappdissa on yksityisyysasetukset, joilla oman profiilin näkymistä voi rajata julkisesta yksityiseksi, jolloin se näkyy vain sovellusta käyttäville ”kavereille”. Sovellusta voi käyttää myös niin, ettei merkitse ollenkaan paikkoja, vaan pelkät oluet. Kenenkään kodit eivät näy kartalla, ellei käyttäjä itse osoita kotiaan kartalta julkiseksi sijainniksi.

Noin viikko Santahaminan-vierailunsa jälkeen nimimerkki kiitteli Suomea kovasti erään pienpanimon lagerista. Hän oli Bro-nimisessä pubissa, joka on Helsingin Hakaniemessä sijaitsevan hotellin aulabaari. Sitten nimimerkki ilmestyi Untappdiin taas Belgian Monsissa. Jouluna hän osti tummaa olutta Texasin San Antoniossa. Ehkä mies oli käymässä kotona.

Näitä asioita meidän ei tarvitsisi tietää. Mutta nimimerkki kertoo ne itse.

Oikaisu 22.5. klo 11.05: Artikkelissa kerrottiin virheellisesti, että Stavanger sijaitsee Norjan pohjoisosassa. Stavanger on eteläisessä Norjassa.

Luitko jo nämä?

Luetuimmat - Ulkomaat

Luetuimmat

Uusimmat