Strava-appen lot oss «jogge» sammen med militært personell på utenlandsoppdrag. Slik gjorde vi det.
I november publiserte Strava et varmekart som viser hvor i verden deres brukere har trent. Flere medier har avslørt militærbaser rundt om i verden ved hjelp av kartet.
Når vi hørte om denne nyheten tenkte vi at det kartet kunne være enda mer kompromitterende: Hva om vi også kan finne identiteten til de ulike brukerne?
Strava Flyby
Da vi først snakket om denne problematikken, nevnte vår redaktør Marius at Strava har en funksjon som heter Flyby.
Enkelt forklart er Flyby en måte å se hvem andre som har trent i samme område som deg, til samme tid.
Dette tenkte vi at det måtte være mulig å utnytte: Hva om vi lager falske GPS-spor i områder hvor det er kjent at norske soldater har oppholdt seg?
Fiktive joggeruter
Ved hjelp av varmekartet fant vi steder i Syria, Irak og Afghanistan som lå litt utenfor allfarvei, og hvor det var usannsynlig at den lokale befolkningen var ivrige Strava-brukere.
Vi tok de aktuelle områdene inn i et GPS-redigeringsverktøy, og laget et fiktivt joggespor som stemte overens med sporene fra varmekartet.
Etter at joggesporene var generert, bygget vi et Python-script som kunne modifisere både joggehastigheten, dato og klokkeslett for når de fiktive joggeturene fant sted. Vi la også inn litt tilfeldighet i hvordan sporet ble generert fra gang til gang.
Vi tok noen ting for gitt, som at soldater flest ikke drar på joggetur midt på dagen i land der temperaturen fort kan stige til over 40 grader. Så de fleste av våre fiktive løpeturer fant sted tidlig på morgenen, eller sent på kvelden.
Til slutt ble dette hundrevis av turer, som vi lastet opp til vår Strava-konto.
Etter at joggesporene var lastet opp, gikk vi manuelt gjennom rutene dag for dag for å sjekke om noen andre Strava-brukere var i samme område på samme tid.
Dette var den litt nitidige og tidskrevende delen av prosessen.
Men den var effektiv:
I løpet av et par timer kartla vi identiteten til over 18 ulike personer fra Norge, Danmark, USA, Frankrike, Nederland, Italia og Storbritannia.
Dette er likevel ingen kritikk av Stravas sikkerhet: Til sitt opprinnelige formål har denne funksjonen stor nytteverdi. Men for mennesker som av ulike årsaker ikke bør kringkaste sine bevegelser, kan det være en god idé å lese om hvordan man endrer på personvernsinnstillingene i Strava.