Strava แอปพลิเคชันออกกำลังกายจากสหรัฐฯ ที่มีผู้ใช้งาน 135 ล้านคน มากกว่า 190 ประเทศทั่วโลก ซึ่งมีการบันทึก ตั้งเป้าหมาย และแชร์ผลสถิติการออกกำลังกายได้ ถึงแม้ว่าแอปนี้จะสร้างแรงบันดาลใจในการออกกำลังกาย แต่นักข่าวและนักวิจัยโอเพนซอร์สก็เคยเตือนเรื่องช่องโหว่ด้านความเป็นส่วนตัว และเคยมีคนที่ใช้แอปนี้เป็นเครื่องมือติดตามจนเปิดเผยที่ตั้งทางทหารได้

สตานิสสลาฟ ริตสกี เป็นผู้บัญชาการเรือดำน้ำของรัสเซีย เขาเคยถูกกล่าวหาว่าได้ใช้ขีปนาวุธโจมตียูเครนจนเป็นเหตุให้มีพลเรือนเสียชีวิต 23 ราย แล้วต่อมาก็มีเหตุการณ์ที่ริตสกีถูกยิงเสียชีวิต ไม่กี่ชั่วโมงหลังจากที่ริตสกีถูกยิงเสียชีวิต พลตรี ไคลิโล บูดานอฟ  หัวหน้าหน่วยข่าวกรองทางทหารของยูเครนก็ได้ไปกดไลก์สถิติการวิ่งครั้งล่าสุดที่ริตสกีอัพโหลดไว้บนโปรไฟล์ของแอปพลิเคชัน Strava

บูดานอฟกับหน่วยงานของยูเครนบอกว่าพวกเขาไม่ได้ส่วนเกี่ยวข้องกับการเสียชีวิตของริตสกี ถึงแม้ว่าจะมีข้อกล่าวหาที่ว่าการ "กดไลก์" ของบูดานอฟมีลักษณะเชิงเย้ยหยันการเสียชีวิตของริตสกีก็ตาม

ทั้งนี้เหตุการณ์ที่เกิดขึ้นก็กลายเป็นเครื่องย้ำเตือนว่าโปรแกรมแอปพลิเคชันออกกำลังกายที่ดูเหมือนจะไม่มีพิษมีภัยอย่าง Strava ก็อาจจะมีจุดอ่อนในด้านความเป็นส่วนตัวได้เหมือนกัน

Strava เป็นแอปพลิเคชันโซเชียลมีเดียด้านฟิตเนสที่ได้รับความนิยมมากในสหรัฐฯ มีการเปิดตัวออกมาตั้งแต่ปี 2009 แล้ว เป็นแอปที่ปรับภาษาได้ 13 ภาษา มีผู้ใช้งานมากกว่า 135 ล้านรายจากที่ต่างๆ ของโลกมากกว่า 190 ประเทศ แอป Strava โฆษณาตัวเองในเว็บไซต์ของพวกเขาว่า พวกเขา "เป็นมากกว่าแค่การติดตามผลการออกกำลังกาย แต่ยังเป็นพื้นที่ของการสร้างเครือข่าย แรงบันดาลใจ และพัฒนาการที่ดีที่สุดของแต่ละบุคคล"

หนึ่งในฟีเจอร์ที่เป็นที่นิยมมากที่สุดของ Strava คือการให้ผู้ใช้งานสามารถแชร์เป้าหมายและความสำเร็จทางการออกกำลังกายของตัวเองได้ รวมถึงมีการรีวิว การแสดงความคิดเห็น การกดไลก์ จนถูกเรียกว่าเป็น "เฟสบุคสำหรับนักวิ่ง"

Strava ทำให้การออกกำลังกายที่ดูเป็นเรื่องโดดเดี่ยว กลับกลายเป็นประสบการณ์ทางสังคมรูปแบบหนึ่งได้ โดยการทำให้ฟิตเนสเป็นเสมือนเกมที่มีอุปสรรคให้ท้าทายตัวเองแล้วก็ส่งเสริมการแชร์ข้อมูลต่างๆ เพื่อแข่งขันกับผู้ใช้งานอื่นๆ ในแอป

แต่นักข่าวและนักวิจัยโอเพนซอร์สต่างก็เคยชี้ให้เห็นมาตั้งแต่หลายปีก่อนแล้ว ว่าแอป Strava มีปัญหาน่ากังวลด้านความเป็นส่วนตัว

แล้วช่องโหว่ด้านความเป็นส่วนตัวนี้เองก็เคยถูกนักข่าวและคนอื่นๆ นำมาใช้ในการระบุการเคลื่อนไหวของทหารในยุโรปและในฐานทัพอิสราเอล ลูกเรือเรือดำน้ำนิวเคลียร์ของฝรั่งเศส และทีมรักษาความปลอดภัยของผู้นำโลก

ถึงแม้ว่าข่าวปัญหาความเป็นส่วนตัวเกี่ยวข้องแอป Strava จะไม่ใช่เรื่องใหม่ และเคยถูกเผยแพร่ออกมาก่อนหน้านั้นแล้ว แต่จากการสืบสวนสอบสวนล่าสุดก็เผยให้เห็นว่า แม้กระทั่งคนที่อยู่ในหน่วยงานหรือสถาบันที่ควรจะทำตัวโลว์โปรไฟล์ซึ่งหมายถึงไม่เปิดเผยข้อมูลตัวเองตัวเองมากเกินไป ก็ยังมีการใช้แอปออกกำลังกายที่ดูเหมือนไม่มีอะไรแอปนี้ ในแบบที่ส่งผลต่อให้ความลับสุดยอดจากหน่วยงานหรือสถาบันของพวกเขาสุ่มเสี่ยงจะถูกเปิดเผยออกมาได้

กรณีตัวอย่าง : นักวิ่งลึกลับที่อิสราเอล

มีอยู่วันหนึ่งที่ โอเมอร์ เบนจาคอบ ผู้สื่อข่าวด้านไอทีและประเด็นข้อมูลบิดเบือนจากสื่อ Haaretz พบว่ามีผู้ใช้งานน่าสงสัยรายหนึ่งในแอป Strava ใช้ชื่อโปรไฟล์ว่า "Kevin D" ที่ระบุสถิติการวิ่งของเขาภายในระยะเวลาเพียงแค่ 4 วัน ว่าได้วิ่งระยะไกลเป็นจำนวน 60 ครั้ง และวิ่งระยะสั้นมาก 1 ครั้ง ที่ฐานทัพอิสราเอล 30 แห่ง ทำให้เกิดความสงสัยว่าเขาอาจจะกำลังอาศัยช่องโหว่ของแอปนี้ในการเก็บข้อมูลอ่อนไหวทางการทหารอยู่หรือไม่

สาเหตุเพราะการโพสต์เช่นนี้จะอนุญาตให้ Kevin D ได้มองเห็นเส้นทางวิ่งและโปรไฟล์ของผู้ใช้งานคนอื่นๆ ที่ออกกำลังกายในสถานที่ใกล้เคียงกันด้วย หมายความว่าถ้าหากมีทหารคนไหนที่ไม่ได้ระมัดระวังมากพอในการปรับค่าความเป็นส่วนตัวอย่างละเอียด ก็จะทำให้ Kevin D เข้าถึงข้อมูลของพวกเขา และอาจจะถึงขั้นเข้าถึงข้อมูลของฐานทัพได้

ก่อนหน้านี้ เบนจาคอบ ยังเคยค้นพบเรื่องที่มีการใช้ Strava ในการหาข้อมูลเกี่ยวกับทหารและฐานทัพของอิสราเอลมาก่อนแล้ว เขาคอยจับตามองแอปนี้นับตั้งแต่ที่มีการเผยแพร่ฮีทแมพ หรือแผนที่อุณหภูมิของผู้ใช้งานที่วิ่งอยู่ในที่ต่างๆ ทั่วโลก เรื่องนี้ทำให้มีคนนักวิเคราะห์ข้อมูลโอเพนซอร์สและนักข่าวพากันพูดถึงกรณ๊ที่มีคนมักจะวิ่งไปตามฐานปฏิบัติการของซีไอเอในโซมาเลีย, ฐานที่มั่นทางทหารของกองทัพสหรัฐฯ ในอิรักและซีเรีย, ฐานทัพอังกฤษในฟอล์กแลนด์ส, ฐานทัพอิตาลีในจิบูตี รวมถึงมีคนปั่นจักรยานไปตาม "แอเรีย 51" ในเนวาดา

เรื่องนี้ถึงขั้นเคยมีคนโพสต์เคล็ดลับให้นักข่าวสามารถใช้แอปนี้ในการสืบสวนสอบสวนเกี่ยวกับการทหารได้ นี้ส่งผลนักข่าวสืบสวนสอบสวนหลายคนเปิดเผยฐานที่มั่นลับทางทหารหลายแห่งได้ เช่น กรณี ที่ นิค วอเทอร์ส จากสื่อเบลลิงแคท เคยใช้ Strava ในการเปิดเผยฐานลับของหน่วยปฏิบัติการพิเศษทางอากาศ SAS ของอังกฤษได้ ส่วนองค์กรเอ็นจีโออิสราเอล FakeReporter ก็ได้เปิดเผยเรื่องที่ฐานทัพลับสุดยอดของอิสราเอล 6 แห่งมีข้อมูลรั่วไหลออกมาจากบุคคล 100 คนในฐานทัพนั้น

แล้ว "Kevin D" คือใครกันแน่?

ยังมีคำถามอยู่ว่า Kevin D ที่ทำตัวลับๆ ล่อๆ บนโพสต์ของ Strava คือใครกันแน่ แต่ก่อนที่กองทัพอิสราเอลจะตรวจสอบเรื่องนี้ได้สำเร็จ Kevin D ก็เปิดเผยตัวเองออกมาก่อน

ในที่นี้ต้องขอเท้าความถึงกรณีที่นักข่าว 2 คนจากสื่อฝรั่งเศส  Le Monde ได้ร่วมกันทำการสืบสวนสอบสวนเรื่องข้อมูลรั่วไหลจาก Strava จนกลายเป็นข่าวดังเมื่อปี 2024 ที่ผ่านมา

นักข่าวสองคนนี้ชื่อ เซบาสเตียน บัวร์ดง นักข่าวสืบสวนสอบสวนโอเพนซอร์สผู้เชี่ยวชาญเรื่องขวาจัดในยุโรป กับ อังตวน เชียร์เรอร์  นักข่าว นักทำภาพยนตร์ ผู้ออกแบบแผนภาพข่าวกรองจากแหล่งข้อมูลสาธารณะ OSINT พวกเขาได้เผยแพร่เรื่องราวการสืบสวนสอบสวนที่เรียกว่า #StravaLeak ลงในสื่อ Le Monde

การสืบสวนสอบสวนของพวกเขาสามารถติดตามการเคลื่อนไหวของประธานาธิบดีสหรัฐฯ ได้ ไม่ว่าจะเป็น โดนัลด์ ทรัมป์ หรือ โจ ไบเดน รวมถึงติดตามการเคลื่อนไหวของรองประธานาธิบดี กมลา แฮร์ริส ได้ด้วย พวกเขาใช้วิธีการระบุตัวตนของเจ้าหน้าที่รักษาความปลอดภัยของรัฐบาลสหรัฐฯ 26 ราย ผ่านทางกิจกรรมของพวกเขาในแอป Strava ในช่วงที่พวกเขาเดินทางไปปฏิบัติงานตามสถานที่ต่างๆ

นอกจากนี้ยังมีกรณีที่พวกเขาติดตามตัวเจ้าหน้าที่รักษาความปลอดภัยของประธานาธิบดีฝรั่งเศส เอมมานูเอล มาครง ทำให้สามารถคาดการณ์ได้ว่ามาครงจะเดินทางไปที่ไหนต่อไป พวกเขาถึงขั้นสามารถติดตามจนพบว่ามาครงเดินทางไปที่ไหนในช่วงวันหยุดเทศกาลคริสต์มาสในปี 2021

สำหรับกรณีของสหรัฐฯ นั้น นักข่าวที่เขียนให้ Le Monde ได้ทำการสืบเสาะได้แม้กระทั่งข้อมูลที่ว่า สุภาพสตรีหมายเลขหนึ่งอย่าง จิล ไบเดน และ เมลาเนีย ทรัมป์ เดินทางไปไหนบ้าง โดยอาศัยข้อมูลใน Strava ของเจ้าหน้าที่รักษาความปลอดภัย ถึงแม้ว่าเจ้าหน้าที่รักษาความปลอดภัยของสหรัฐฯ จะถูกห้ามไม่ให้ใช้งานเครื่องมืออิเล็กทรอนิกส์ส่วนตัวของพวกเขาเองในช่วงเวลางาน แต่ในช่วงเวลาส่วนตัวพวกเขาก็ยังใช้ได้ และแอป Strava ก็เป็นหนึ่งในนั้น

วิธีการที่นักข่าวเหล่านี้ใช้คือการสร้างโปรไฟล์ปลอมขึ้นมา แล้วแสร้งระบุข้อมูลสถิติการวิ่งในที่ใดที่หนึ่ง ทำให้แอป Strava ทำการเปิดเผยข้อมูลของคนที่วิ่งในที่ใกล้ๆ กัน จากนั้นก็ใช้เครื่องมือนี้กับสถานที่ๆ คาดว่าจะมีคนใกล้ชิดกับผู้นำเหล่านี้วิ่งออกกำลังกาย เมื่อได้ข้อมูลมาแล้วก็จะนำไปวิเคราะห์ด้วยเครื่องมือที่เรียกว่า "ไพธอน" ซึ่งเชียร์เรอร์เป็นผู้สร้างขึ้นมา จนทำให้สามารถระบุสถานที่ทั้งหมดที่เจ้าหน้าที่รักษาความปลอดภัยออกไปวิ่งได้ พวกเขาจะนำข้อมูลส่วนตัวเช่นรูปในแอปของเจ้าหน้าที่เหล่านี้ไปเทียบกับรูปถ่ายต่างๆ ว่ามีความใกล้เคียงกับรูปที่พวกเขาถูกถ่ายไว้ตอนอารักขาประธานาธิบดีหรือไม่

นักข่าวทั้งสองคนนี้ ถึงขั้นนำวิธีการแบบนี้ไปลองใช้กับเป้าหมายที่ใหญ่กว่าอย่าง ประธานาธิบดี วลาดิเมียร์ ปูติน ของรัสเซีย เพื่อพยายามเปิดโปงเรื่องวังลับของปูติน เรื่องนี้เคยมีรายงานจากทีมของ อเล็กซี นาวาลนี ฝ่ายค้านของรัสเซียที่ถูกคุมขังและเสียชีวิตในเวลาต่อมา รายงานดังกล่าวนี้ระบุว่าปูตินได้สร้างวังของตัวเองด้วยเงินหลายพันล้านดอลลาร์ที่ชายฝั่งทะเลดำ ซึ่งปูตินปฏิเสธเรื่องนี้มาโดยตลอด

แต่นักข่าวสองคนนี้ก็ได้ใช้วิธีการเดิมคือการตรวจจับนักวิ่งใกล้ตัวปูตินผ่านทาง Strava จนกระทั่งพบว่ามีเจ้าหน้าที่อารักขาของปูตินอยู่ที่วังริมชายฝั่งทะเลดำ แล้วก็สามารถติดตามตัวปูตินได้ตอนเดินทางไปในที่ต่างๆ ทั่วโลก ถึงแม้ว่าปูตินจะเป็นผู้นำที่ระมัดระวังตัวสูงมากก็ตาม

บัวร์ดง และเชียร์เรอร์ ยังได้พยายามติดตามตัวผู้นำคนอื่นๆ แต่ก็พบอุปสรรค เช่น กรณีของสีจิ้นผิงนั้น ทำไม่ได้เพราะในจีนแทบไม่มีการใช้ Strava ส่วนการติดตามผู้นำเยอรมนีก็ยุ่งยากเกินไป

ทำให้โครงการต่อมาของนักข่าวสองคนนี้ คือการพยายามตรวจหาสถานที่ตั้งของกองทัพอิสราเอลที่สู้รบในกาซา พวกเขาได้ใช้วิธีการเดิมคือการเริ่มสร้างโปรไฟล์ปลอมขึ้นมา แล้วก็ติดตามตัวทหารจากตำแหน่งของการวิ่งใน Strava จนกระทั่งสามารถระบุตำแหน่งได้ และโปรไฟล์ปลอมที่พวกเขาใช้ก็คือ Kevin D นี่เอง จึงคลายข้อสงสัยว่าทำไมผู้ใช้งาน Kevin D ถึงไปวิ่งใกล้ๆ ฐานที่มั่นของกองทัพอิสราเอลในระยะเวลาไม่กี่วัน เพราะพวกเขาคือนักข่าวจาก Le Monde ผู้เปิดโปงเรื่องการรั่วไหลของ Strava นั่นเอง

นักศึกษาผู้เล็งเห็นว่าข้อมูลฮีทแมพ เผยฐานทัพและเส้นทางลำเลียงกำลังบำรุง

หลังจากที่ Strava เปิดเผยข้อมูลตำแหน่งจีพีเอสของคนที่ทำการวิ่งโดยใช้แอปนี้จากทั่วโลกจากหลายล้านจุด ผ่านวิธีการที่เรียกกว่าฮัทแมพ ก็ทำให้ ทาธาน รูเซอร์ นักศึกษาอายุ 20 ปี จากมหาวิทยาลัยแห่งชาติออสเตรเลีย เล็งเห็นว่า ในแผนที่ของ Strava มีการเผยให้เห็นตำแหน่งการวิ่งของทหารที่ฐานทัพในตะวันออกกลางและพื้นที่ขัดแย้งอื่นๆ ด้วย

รูเซอร์เป็นคนที่ติดตามสถานการณ์ความขัดแย้งในซีเรียมาตั้งแต่ปี 2014 ซึ่งเป็นช่วงที่ยังคงมีสงครามกลางเมืองอยู่ เขาเปรียบเทียบว่า ฮีทแมพ ในพื้นที่ที่มีผู้ใช้งานจำนวนมากอย่างออสเตรเลียนั้นจะเต็มไปด้วยข้อมูลที่มาจากพลเรือนเพราะมีพลเรือนใช้งานพร้อมกันจำนวนมาก แต่ในพื้นที่อย่างซีเรียนั้นต่างออกไป เพราะผู้ใช้งานมักจะเป็นชาวต่างชาติที่เข้าไปในพื้นที่ ซึ่งนอกเหนือจากทหารจากต่างแดนแล้ว อาจจะเป็นเอ็นจีโอหรือคนทำงานการกุศลจากต่างประเทศปรากฏในฮีทแมพด้วยก็เป็นได้

แดเนียล เคฟ นักวิเคราะห์อาวุโสจากศูนย์นโยบายไซเบอร์นานาชาติ ของสถาบันนโยบายยุทธศาสตร์ออสเตรเลีย บอกว่าฮีทแมพ เป็นเสมือน "บ่อทองด้านข้อมูลโอเพนซอร์ส" ในขณะเดียวก็มองว่ามันเป็นความเสี่ยงต่อความปลอดภัยทางไซเบอร์ด้วย เพราะทำให้กลุ่มแฮกเกอร์ ไม่ว่าจะเป็นกลุ่มที่เกี่ยวข้องกับภาครัฐหรือไม่ก็ตาม ก็จะสามารถใช้ Strava ในการนำข้อมูลส่วนบุคคลมาฉวยโอกาสหาประโยชน์ได้

เส้นแบ่งที่พร่าเลือนลงของ "ความลับสุดยอด" กับ "การเปิดให้เห็นต่อสาธารณะ"

อย่างไรก็ตาม ทางโฆษกของ Strava บอกว่าฮีทแมพ เป็นข้อมูลการรับชมกิจกรรมของผู้ใช้งาน "แบบรวบยอดและเป็นนิรนาม" นอกจากนี้ยังบอกอีกว่าทาง Strava อนุญาตให้ผู้ใช้งานสร้าง "เขตพื้นที่ส่วนตัว" ซึ่งเป็นเครื่องมือที่ทำให้มีการปกปิดกิจกรรมของพวกเขาในอาณาบริเวณที่กำหนดไว้ได้

ก่อนหน้านี้ในปี 2018 ซีอีโอของ Strava ก็เคยพูดในเชิงพยายามควบคุมความเสียหายหลังมีเรื่องอื้อฉาวเกี่ยวกับฮีทแมพ โดยบอกว่าพวกเขาได้ปรับปรุงระบบการตั้งค่าความเป็นส่วนตัวของพวกเขาแล้ว แต่หลังจากนั้นก็ยังคงมีปัญหารายงานออกมาในเรื่องการรั่วไหลของข้อมูลปิดลับโดยมีที่มาจากการติดตามแอป Strava

นักข่าวและนักวิเคราะห์ข้อมูลชี้ว่าปัญหาของ Strava ไม่ได้เกิดมาจากบั๊คหรือข้อผิดพลาดของโปรแกรม แต่มาจากฟังชั่นการใช้งานของแอปเอง ในแง่หนึ่งพวกเขาอาจจะเถียงได้ว่ามีระบบการตั้งค่าที่เข้าถึงได้ง่ายขึ้นแล้ว แต่ปัญหาก็คือผู้้ใช้งานมักจะไม่ได้ใช้งานการตั้งค่าเหล่านั้น

เรื่องนี้ได้สะท้อนให้เห็นว่า ในยุคดิจิทัลแบบนี้ เส้นแบ่งของความเป็น "ความลับสุดยอด" กับ "การเปิดให้เห็นต่อสาธารณะ" มีความพร่าเลือนลง เช่นกรณีที่หัวหน้าหน่วยงานข่าวกรองสหรัฐฯ กับกองทัพวางแผนเรื่องสงครามกันผ่านทางแอปส่งข้อมูล Signal ความพร่าเลือนนี้มาจาก การละเลยกฎการใช้งานและมีการกำกับดูแลเทคโนโลยีที่หละหลวมกว่าเดิม เรื่องนี้จึงทำให้ความปลอดภัยทางข้อมูลของผู้ใช้งาน ต่างก็เสี่ยงที่จะรั่วไหลได้เพียงเพราะฟีเจอร์ในแอปฟิตเนส ไม่ว่าคุณจะเป็นประชาชนทั่วไปในเมืองใหญ่ หรือเป็นประธานาธิบดีสหรัฐฯ ก็ตาม

เรียบเรียงจาก

Running Into Open Secrets: How to Investigate Using the Strava Fitness App, GIJN, 22-04-2025

https://gijn.org/stories/investigations-using-strava-fitness-app/

Strava has published details about secret military bases, and an Australian was the first to know, ABC News, 29-01-2018

https://www.abc.net.au/news/science/2018-01-29/strava-heat-map-shows-military-bases-and-supply-routes/9369490

How Strava Data Leaked Locations of Trump, Putin, Macron, and More, Velo, 07-2024

https://velo.outsideonline.com/news/how-strava-data-leaked-locations-of-world-leaders-including-trump-putin-macron/