[Le informazioni pubblicate in questo articolo hanno finalità esclusivamente formative]

Strava è una applicazione molto utilizzata dalla community degli appassionati (e professionisti) di sport quali ciclismo, corsa e nuoto. Potremmo definirlo oramai un vero e proprio Social Network: le ultime stime parlano di più di 42 milioni di utenti, con un tasso di crescita di circa 1 milione al mese (fonte).

Partiamo dalla definizione di Wikipedia:

Strava è un software come servizio per il tracciamento GPS dell'attività fisica per ciclismo, corsa e nuoto. Gli utenti possono registrare le performance della loro attività fisica e caricare i dati statistici di velocità, altitudine e battito cardiaco.

Il fatto che possa tracciare l’attività fisica svolta ed i parametri (performance) ad essa correlati,  è certamente un aspetto interessante sotto il profilo della ricerca Open Source Intelligence.

Quali dati vengono tracciati e resi pubblici da Strava? Queste informazioni si possono analizzare fino a che punto?


Ho provato a rispondere a queste domande.

Analisi Informativa sulla Privacy di Strava.

L'ultimo aggiornamento risale all'11 Dicembre 2019 e questa è una notizia positiva: società che aggiornano frequentemente le proprie privacy polici per adeguarle alle nuove normative, non sono poi così tante.

Come tutti i software che prevedono la registrazione dei dati, anche Strava ha quindi una normativa sulla Privacy che dobbiamo accettare prima di poter utilizzare l’APP. E come quasi sempre accade, non leggiamo quanto c’è scritto, ci limitiamo a cliccare “OK” per iniziare a ….. correre 🙂

Questa volta faccio io il lavoro sporco: ho voluto leggere le condizioni sulla Privacy di Strava (https://www.strava.com/legal/privacy) e vi riporto quelle che a mio avviso sono i passaggi più importanti da tenere in considerazione.

Informazioni aggregate.

Strava si riserva il diritto di vendere tali dati a fini commerciali:

"Strava potrebbe aggregare le informazioni rese disponibili dall'Utente o da altri in collegamento con i Servizi e pubblicarle o condividerle con terzi. Alcuni esempi di tipi di informazioni che potremmo aggregare includono informazioni su attrezzature, utilizzo, informazioni demografiche, percorsi e prestazioni. Strava potrebbe utilizzare, vendere, fornire in licenza e condividere queste informazioni aggregate con terzi a scopo di ricerca o attività commerciale o ad altri fini"

Informazioni sanitarie:

"Strava può raccogliere o desumere informazioni sanitarie. Alcune informazioni sanitarie possono derivare da fonti come la frequenza cardiaca o altri valori, tra cui forza, ritmo, peso o altri indicatori.”

Queste rientrano (non sono esplicitamente escluse) dai dati aggregati che possono essere venduti (vedi punto precedente)

Trasferimento delle informazioni:

Strava potrebbe condividere le informazioni dell'Utente con affiliate controllate in comune da Strava: queste sono tenute a rispettare i termini della presente Informativa sulla privacy in merito alle informazioni dell'Utente. Se Strava viene coinvolta in aggregazioni aziendali, offerte di titoli, bancarotta, riorganizzazione, dissoluzione o altre analoghe transazioni, possiamo condividere o trasferire le informazioni dell'Utente in relazione alla transazione citata.

Requisiti legali

Strava potrebbe conservare e condividere le informazioni dell'Utente con terzi, tra cui forze dell'ordine, agenzie pubbliche o governative o contendenti privati, all'interno o all'esterno del Paese di residenza, se decide che tale divulgazione sia concessa dalla legge o sia ragionevolmente necessaria per conformarsi alla legge, ad esempio per rispondere a ordinanze, ingiunzioni, mandati di comparizione o altri processi legali o normativi.

Informazioni disponibili pubblicamente

Quando l'Utente si iscrive alla community di Strava, il profilo e le attività rilevanti vengono configurati in modo da essere visualizzabili da tutti per impostazione predefinita. Il nome o altre informazioni sul profilo sono visualizzabili da altri membri di Strava e dal pubblico e, in base ai controlli sulla privacy dell'Utente, potrebbero essere visualizzabili ulteriori informazioni e contenuti condivisi dall'Utente. Ad esempio, le foto e i percorsi potrebbero essere visualizzati da altri membri e non membri di Strava o visualizzabili su pagine Strava accessibili pubblicamente.

Questa ultimo passaggio è interessante per le ricerche in ambito OSINT, in quanto significa che per default tutte le informazioni del profilo sono pubbliche.

Chiariamo subito una questione: quanto previsto dalla normativa Privacy di Strava è del tutto lecito e conforme alla normativa vigente. Quello che voglio sottolineare è quanto sia importante per ciascuno, essere consapevole su quali informazioni vengono raccolte e con chi sono (o potrebbero) condivise.

Tra l'altro Strava mette a disposizione degli utenti appositi strumenti per controllare la propria Privacy e decidere chi possa vedere cosa.

Nuovo banner per chiedere l'accesso di dati sanitari dell'utente.

Analisi dei dati disponibili (web app)

Profilo degli utenti di Strava

  • Gli indirizzi web (URL) dei profili utenti, contengono un codice numerico e non un nickname -> https://www.strava.com/athlet/49555892
  • Il profilo è strutturato con i seguenti elementi (dall'alto verso il basso): foto di "copertina", foto del profilo utente, nome, biografia (se compilato), grafici attività. Troviamo poi una sezione con i trofei e i club di appartenenza. Più sotto: Risultati, Foto, Attività e lo stream delle singole attività dell'utente.
Evidenziate le sezioni con più info da estrarre.

Sezione "Esplora"

Qui possiamo trovare due funzioni di ricerca interessanti. La prima è la "Ricerca atleta":

Il modulo di "Ricerca atleta"

Questo modulo permette di cercare velocemente un atleta registrato e di visualizzare il suo profilo (con le eventuali restrizioni di privacy che ha settato).

L'altra funzionalità interessante è Esplora Segmento:

Il modulo di Strava per cercare percorsi tracciati dagli atleti

I segmenti non sono altro che dei percorsi (a piedi o in bicicletta) realizzati da uno o più alteti. Questa funzione come vedremo dopo può fornirci parecchie indicazioni geolocalizzate.

Attenzione che le funzioni di ricerca (atleti e segmenti) sono disponibili solo dopo essersi loggati a Strava: è però disponibile un sito (https://www.doogal.co.uk/strava.php) che ci permette di analizzare tutti i segmenti come se fossimo loggati all'applicazione.

Strava Heatmap.

La Heatmap è una visualizzazione grafica dei percorsi svolti dagli alteti. Una bella rappresentazione grafica di big data, potremmo definirla.

I colori più intensi rappresentano più persone che hanno percorso quel tracciato.

E' possibile quindi svolgere ricerche in zone precise, risalendo a quali utenti hanno percorso un determinato tratto.

Estrazione dei dati Strava ed esempi di utilizzo.

Vediamo ora alcuni esempi per recuperare informazioni che possono essere utili durante una analisi OSINT.

Foto del profilo.

La foto del profilo può essere aperta in una nuova schermata (cliccandoci sopra con il tasto destro): nel link che comparirà nella barra del browser, sostituire la parola "large" (in fondo alla URL) con "original", e potremmo vedere l'immagine originale, che riporta quasi sicuramente più dettagli.

Ha quanto ho appurato i dati EXIF non sono presenti, neppure sulle immagini della cover.

Ricerca Atleti ed informazioni aggiuntive.

Per cercare un utente, oltre alla funzione indicata sopra, possiamo affidarci alle Google Dorks:

  • inurl:strava.com/athletes nome/nickname

Se il campo Bio è stato popolato - di norma ho visto che viene inserito ad esempio il proprio account Instagram - potremmo cercare:

  • inurl:strava.com instagram

per trovare una corrispondenza. Questi sono solo alcuni esempi: ovviamente la ricerca deve essere affinata in funzione dei propri obiettivi.

Ricerca segmenti: scoprire dove corrono gli atleti (e chi sono...).

Con la ricerca dei segmenti possiamo sbizzarrici nel cercare se ci sono atleti abituali in determinate zone di nostro interesse. Tra l'altro, le mappe usate su Strava (basate su OpenStreet) possono mettere in evidenza dettagli che invece Google oscura.

Facciamo un esempio. Cerchiamo su Google Maps la base navale militare di Tolone (l'ho scelta a caso eh!), nel sud della Francia.

Essendo un luogo con severe restrizioni militari, Google ne oscusa la visibilità:

La zona militare è offuscata da Google con un effetto blur

Anche la mappa relativa ai percorsi, sia di Google che di OpenStreetMap è oscurata:

Vediamo cosa succede se cerchiamo sulla HeatMap di Strava la stessa base militare navale:

La base militare di Tolone, con indicati i percorsi effettuati dagli atleti.

Ora aggiungiamo il livello della mappa satellitare:

Stessa mappa con il livello "Satellite"

Ora, "togliamo" i percorsi, mettendo "Opacità colore 0%":

Ci ritroviamo così con una visione satellitare della base militare, senza alcun offuscamento. Attenzione: ovviamente non sappiamo a quale data risalgono queste immagini, ma comunque possono fornire indicazioni aggiuntive.

Particolare della base militare di Tolone, dalla mappa di Strava.

Sempre rimamendo un questa area, possiamo andare a visualizzare i tracciati, per capire quali sono gli utenti che li hanno percorsi:

Come abbiamo visto prima, per ciascun segmento (tracciato) è possibile risalire agli utenti coinvolti, sia tramite Strava ma anche - se non di ha (o vuole avere) un account - tramite una applicazione esterna:

Lista degli atleti del segmento, con nome, data, tempi, etc.

Chi cercasse informazioni su eventuali addetti militari della base in questione, a questo punto potrebbe iniziare ad indagare sui profili presenti nella lista.

Conclusioni.

Questo esercizio ha l'obiettivo di evidenziare un fatto che spesso non approfondiamo abbastanza, ovvero quali informazioni personali (o aziendali) condividiamo e quali vengono in qualche modo hanno un accesso pubblico.

Non è una battaglia alle steghe, i social network non sono il male: dobbiamo solo essere più consapevoli tutti quanti delle azioni che compiamo (o che NON compiamo) online.

Ti è piaciuto questo articolo? Condividilo con i tuoi contatti!

Ti ricordo il Gruppo Telegram di CyberSecurity per Tutti ed il mio Podcast: trovi tutto cliccando qui.