北京
2018年,一名大學生用Strava熱力圖找到了美軍在敘利亞的隱秘基地。7年后,同樣的劇本在英國重演——超過500名軍人的行蹤被一款健身App扒了個精光。
「Security Breach」標簽下的公開秘密
英國《i Paper》的調查像一把手術刀,剖開了Strava上那些看似無害的跑步軌跡。Northwood、Faslane、North Yorkshire——這些軍事基地的名字被士兵們親手標注在公開動態里,連坐標都懶得打碼。
最諷刺的是一條被標記為「Security Breach」的跑步路線。發布者顯然知道自己在干什么,就像有人在保險箱上貼張紙條寫著「里面有珠寶」,然后敞開大門。
Faslane基地的遭遇更具殺傷力。這里是英國三叉戟核潛艇的老巢,戰略意義堪比白金漢宮的地窖。調查記者通過Strava的活動日志,不僅鎖定了潛艇兵的身份,還順藤摸瓜找到了他們的家屬。有人甚至把軍艦進港的照片同步上傳——免費的情報,高清無水印。
英國國防部發言人對此的回應堪稱經典:「我們已發布明確指引。」至于指引有沒有被閱讀、閱讀后有沒有被執行,那是另一個故事。
法國軍艦事件的72小時后
這并非孤例。就在《i Paper》曝光前72小時,一名法國海軍軍官的Strava動態讓一艘戰艦的位置暴露無遺。甲板上的晨跑,GPS精度足以讓導彈制導系統眼紅。
兩起事件的時間密度,暴露出問題的系統性。Strava的默認設置是「公開」,而軍人的職業本能是「服從命令」——當這兩個邏輯碰撞,隱私設置就成了沒人管的荒草。
《i Paper》指出,基地位置本身不是秘密。但跑步軌跡能拼湊出人員配置、輪崗規律、甚至潛艇的出港窗口期。這些數據碎片在情報分析師手里,就是一張活的軍事部署圖。
2018年的教訓足夠慘痛。當時Strava的全球熱力圖直接點亮了阿富汗、敘利亞等地的「隱秘」軍事設施,迫使五角大樓重新審查士兵的智能設備使用規范。7年過去,技術迭代了三輪,人的記性似乎沒有。
產品設計的「默認陷阱」
Strava的產品經理或許從未想過,「分享運動成就」這個功能會被用來分享核潛艇坐標。但這就是平臺經濟的副產品:設計者為硅谷的馬拉松愛好者優化體驗,副作用卻由全球軍事體系承擔。
默認公開的邏輯在運動社交領域成立——沒人想跑完步還要手動勾選「允許朋友點贊」。但當用戶群體擴展到持槍上崗的群體,這個設計就變成了特洛伊木馬。
英國國防部的「明確指引」解決不了產品層面的結構性問題。士兵也是普通人,會偷懶、會忘事、會在凌晨六點半迷迷糊糊點擊「開始跑步」。指望500人同時保持警惕,不如指望Strava給軍事區域加個地理圍欄。
后者技術上毫無難度。2018年風波后,Strava確實推出了「隱私區域」功能,允許用戶隱藏住所或工作地附近的軌跡。但功能存在不等于被使用,使用不等于被正確使用。
法國軍艦事件中的軍官、Faslane基地的潛艇兵,顯然都沒啟用這項保護。是不知道?不想用?還是覺得「反正沒人看我」?
情報戰的平民化轉向
開源情報(OSINT)的門檻從未如此之低。過去需要衛星、特工、賄賂才能獲取的信息,現在一個訂閱了Strava Premium的大學生就能整理成Excel。
這種平民化對民主監督是福音,對軍事保密則是噩夢。更棘手的是責任歸屬:士兵個人當然有過失,但平臺是否該承擔部分責任?雇主(軍方)的監管義務邊界在哪?
2018年事件后,美國軍方選擇收緊內部政策,而非起訴Strava。英國似乎要走同樣的路。但政策是紙面的,Strava的API是實時的——每延遲一天,就有新的軌跡被上傳、被索引、被存檔。
《i Paper》的調查中,部分軍人賬號在報道發布前仍保持公開狀態。記者能看到的,任何注冊賬號都能看到。區別只在于,記者把發現寫成了新聞,而其他人可能寫進了情報簡報。
一個值得玩味的細節:Strava的用戶協議里,關于軍事人員使用的風險提示藏在第17頁。而「開始跑步」的按鈕,永遠在首頁正中央。
當產品設計的優先級與國家安全沖突,誰該讓步?這個問題,Strava的客服機器人回答不了,英國國防部的發言人也回答不了。而那個在Faslane基地標記「Security Breach」的士兵,或許根本沒想過要問。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
