Strava泄露500+英軍位置：跑步軟件成了間諜工具？

2018年，一名大學(xué)生用Strava熱力圖找到了美軍在敘利亞的隱秘基地。7年后，同樣的劇本在英國重演——超過500名軍人的行蹤被一款健身App扒了個(gè)精光。

「Security Breach」標(biāo)簽下的公開秘密

英國《i Paper》的調(diào)查像一把手術(shù)刀，剖開了Strava上那些看似無害的跑步軌跡。Northwood、Faslane、North Yorkshire——這些軍事基地的名字被士兵們親手標(biāo)注在公開動(dòng)態(tài)里，連坐標(biāo)都懶得打碼。

最諷刺的是一條被標(biāo)記為「Security Breach」的跑步路線。發(fā)布者顯然知道自己在干什么，就像有人在保險(xiǎn)箱上貼張紙條寫著「里面有珠寶」，然后敞開大門。

Faslane基地的遭遇更具殺傷力。這里是英國三叉戟核潛艇的老巢，戰(zhàn)略意義堪比白金漢宮的地窖。調(diào)查記者通過Strava的活動(dòng)日志，不僅鎖定了潛艇兵的身份，還順藤摸瓜找到了他們的家屬。有人甚至把軍艦進(jìn)港的照片同步上傳——免費(fèi)的情報(bào)，高清無水印。

英國國防部發(fā)言人對此的回應(yīng)堪稱經(jīng)典：「我們已發(fā)布明確指引。」至于指引有沒有被閱讀、閱讀后有沒有被執(zhí)行，那是另一個(gè)故事。

法國軍艦事件的72小時(shí)后

這并非孤例。就在《i Paper》曝光前72小時(shí)，一名法國海軍軍官的Strava動(dòng)態(tài)讓一艘戰(zhàn)艦的位置暴露無遺。甲板上的晨跑，GPS精度足以讓導(dǎo)彈制導(dǎo)系統(tǒng)眼紅。

兩起事件的時(shí)間密度，暴露出問題的系統(tǒng)性。Strava的默認(rèn)設(shè)置是「公開」，而軍人的職業(yè)本能是「服從命令」——當(dāng)這兩個(gè)邏輯碰撞，隱私設(shè)置就成了沒人管的荒草。

《i Paper》指出，基地位置本身不是秘密。但跑步軌跡能拼湊出人員配置、輪崗規(guī)律、甚至潛艇的出港窗口期。這些數(shù)據(jù)碎片在情報(bào)分析師手里，就是一張活的軍事部署圖。

2018年的教訓(xùn)足夠慘痛。當(dāng)時(shí)Strava的全球熱力圖直接點(diǎn)亮了阿富汗、敘利亞等地的「隱秘」軍事設(shè)施，迫使五角大樓重新審查士兵的智能設(shè)備使用規(guī)范。7年過去，技術(shù)迭代了三輪，人的記性似乎沒有。

產(chǎn)品設(shè)計(jì)的「默認(rèn)陷阱」

Strava的產(chǎn)品經(jīng)理或許從未想過，「分享運(yùn)動(dòng)成就」這個(gè)功能會(huì)被用來分享核潛艇坐標(biāo)。但這就是平臺經(jīng)濟(jì)的副產(chǎn)品：設(shè)計(jì)者為硅谷的馬拉松愛好者優(yōu)化體驗(yàn)，副作用卻由全球軍事體系承擔(dān)。

默認(rèn)公開的邏輯在運(yùn)動(dòng)社交領(lǐng)域成立——沒人想跑完步還要手動(dòng)勾選「允許朋友點(diǎn)贊」。但當(dāng)用戶群體擴(kuò)展到持槍上崗的群體，這個(gè)設(shè)計(jì)就變成了特洛伊木馬。

英國國防部的「明確指引」解決不了產(chǎn)品層面的結(jié)構(gòu)性問題。士兵也是普通人，會(huì)偷懶、會(huì)忘事、會(huì)在凌晨六點(diǎn)半迷迷糊糊點(diǎn)擊「開始跑步」。指望500人同時(shí)保持警惕，不如指望Strava給軍事區(qū)域加個(gè)地理圍欄。

后者技術(shù)上毫無難度。2018年風(fēng)波后，Strava確實(shí)推出了「隱私區(qū)域」功能，允許用戶隱藏住所或工作地附近的軌跡。但功能存在不等于被使用，使用不等于被正確使用。

法國軍艦事件中的軍官、Faslane基地的潛艇兵，顯然都沒啟用這項(xiàng)保護(hù)。是不知道？不想用？還是覺得「反正沒人看我」？

情報(bào)戰(zhàn)的平民化轉(zhuǎn)向

開源情報(bào)（OSINT）的門檻從未如此之低。過去需要衛(wèi)星、特工、賄賂才能獲取的信息，現(xiàn)在一個(gè)訂閱了Strava Premium的大學(xué)生就能整理成Excel。

這種平民化對民主監(jiān)督是福音，對軍事保密則是噩夢。更棘手的是責(zé)任歸屬：士兵個(gè)人當(dāng)然有過失，但平臺是否該承擔(dān)部分責(zé)任？雇主（軍方）的監(jiān)管義務(wù)邊界在哪？

2018年事件后，美國軍方選擇收緊內(nèi)部政策，而非起訴Strava。英國似乎要走同樣的路。但政策是紙面的，Strava的API是實(shí)時(shí)的——每延遲一天，就有新的軌跡被上傳、被索引、被存檔。

《i Paper》的調(diào)查中，部分軍人賬號在報(bào)道發(fā)布前仍保持公開狀態(tài)。記者能看到的，任何注冊賬號都能看到。區(qū)別只在于，記者把發(fā)現(xiàn)寫成了新聞，而其他人可能寫進(jìn)了情報(bào)簡報(bào)。

一個(gè)值得玩味的細(xì)節(jié)：Strava的用戶協(xié)議里，關(guān)于軍事人員使用的風(fēng)險(xiǎn)提示藏在第17頁。而「開始跑步」的按鈕，永遠(yuǎn)在首頁正中央。

當(dāng)產(chǎn)品設(shè)計(jì)的優(yōu)先級與國家安全沖突，誰該讓步？這個(gè)問題，Strava的客服機(jī)器人回答不了，英國國防部的發(fā)言人也回答不了。而那個(gè)在Faslane基地標(biāo)記「Security Breach」的士兵，或許根本沒想過要問。