サンフランシスコ本拠のStravaは、多くの非難を受けてブログを公表し、ユーザーにプライバシー設定を確認するよう促した。同社はブログの中で、機能を見直すと述べたが、具体的にどのような対策を講じたのかは明らかにしていない。
イスラエル人のサイバーセキュリティ研究者グループ「FakeReporter」が公表したレポートによると、悪意のある人物は特定できていないが、彼らはStravaの別の機能を使って、イスラエル国内にある6ヶ所の基地に駐在する兵士の情報を盗み出した可能性が高いという。
「偽ユーザーは、軍の基地や、そこに駐在するイスラエルの治安部隊所属の職員やエージェントに関する情報を取得していた」と、FakeReporterのエグゼクティブ・ディレクターであるAchiya Schatzは話す。彼らは、イスラエル以外でも同じ方法でユーザー情報が漏洩していた可能性が高いと考えている。
FakeReporterのレポートは、プライバシー保護を心掛けていたユーザーでさえも、個人情報を守ることが難しいことを示している。今日のモバイルアプリの多くが位置トラッキング機能を搭載しており、この問題はStravaに限ったものではない。
他の多くの企業と同様、Stravaは個人情報の保護責任をユーザーに押し付けようとしているように見える。同社は、ユーザーにアカウントを保護する方法を提示しているが、そのプロセスはわかりにくい。セキュリティを強化すると、楽しみが薄れたり、他のユーザーとの共有が難しくなり、ユーザー数が減少する可能性があるため、同社は消極的なのだろう。
研究者らは、FakeReporterのウェブサイトに送られた情報に基づき、イスラエルにおけるStravaのSegment機能について調査した。Segmentツールは、全ユーザーが利用できる機能だ。湖の周囲を5マイル走るといった、地図を使ったチャレンジを設定することができ、誰でも閲覧可能なリーダーボードが表示される。(アプリの基本バージョンは無料で、年間59.99ドルを支払うと、プレミアム機能を利用できる)。
FakeReporterにもたらされた情報は、研究者らにイスラエル軍施設に関連した6つのSegmentを調査することを促したという。これらのSegmentは、2018年にStravaにアップロードされていた。FakeReportが確認したところ、それらを作成した匿名ユーザーはイスラエルに行ったことがなく、それらのアクティビティを完了したこともないことがすぐに判明したという。
匿名ユーザーの狙いは、これらのSegmentを使ってトレーニングしたイスラエルの兵士や軍関係者のリストを入手することだったと思われる。FakeReporterの調査によると、数十人のユーザーがこれらのSegmentを利用していたという(Stravaの初期設定は、個人情報が公開されるようになっている。ユーザーが自分のことを発信し、他のユーザーと交流するほど、年間利用料を支払う可能性が高くなるからだ)。
