フランス人の水兵がジョギングに出かけた。記者が原子力空母を発見した

最近、フランスに在籍する原子力空母の水兵がジョギングを行い、Strava で自身の経路を追跡、そしてプロフィールを公開設定したという出来事が起きた。《レ・モンド》のジャーナリストは、これらのデータを衛星画像と重ね合わせ、その原子力空母が実際に中東のイラン周辺での活動近隣を航行していることを示した。 フランスは本来、Strava のグローバルヒートマップが 2018 年に軍事基地を漏らしたこと、同年第 2 半ばに米国陸軍省が戦地従軍者にジオロケーションアプリの使用を禁止したことについて知っておくべきだった。 《レ・モンド》によると、過去 10 年間で公開してエクササイズを記録したフランス軍の兵士は 450 人にも及ぶという。フランス軍は「適切な措置が取られる」と回答した。 これは、Strava がスパムフォロワーを得ただけというフランス軍のアカウントの問題ではない。私たちは、誰かの位置データをデフォルトでオンラインに上書きする傾向がある。 Strava は技術的に何も間違ったことはしていない。ユーザーがジョギングを公開共有してもよいと確認したのだ。これは公開である。 問題は、「設計通りに動作する」ことが「安全である」ことに等しくないという点だ。これらのアプリは、一人の過剰共有ユーザーがいれば、ほぼ容易に情報収集ツールとして転用される。 エンジニアはそれを考えない。むしろ考えないべきだ。彼らは、幸せなパスを設計するべきだ。誰かがジョギングを記録すれば、すべての子供が見て、全員がより幸せで意欲的になれと。 しかし、あなたの日曜日の 5K がどのくらいだったかを示すデータは、また、空母部隊の哨戒ルートも示す。 「セキュリティ推奨事項をレビューしてください」といったポップアップに何百回も触れることは、デフォルトが「公開」という問題を引き起こすことは絶対にできない。 質問は、軍隊がフィットネスアプリの禁止をすべきかという点ではなく、極めて正確な位置データを公開するアプリがデフォルトで公開設定にすべきかという点だ。 過半数のアプリはまだこのままだ。 あなたが構築・使用した何かにおいて、最も危険な「設計通りに動作する」デフォルトは何か？

An incident recently occurred when a French sailor on the only nuclear-powered aircraft carrier jogged, tracked his path with Strava, and set his profile to public. Le Monde journalists overlaid this data with satellite imagery and showed that said nuclear-powered aircraft carrier was, indeed, chugging along in the Mediterranean near active operations near Iran. France was already meant to be aware of this, as Strava's global heat map also outed military bases in 2018 and, also in 2018, the Pentagon banned deployed personnel from using geolocation apps. Le Monde reported that there were 450 French soldiers over the last decade who were publicly tracking their workouts from sensitive areas. The French military responded, stating, "Appropriate measures will be taken by the command." This isn't about the French military's account getting a spammy follow request on Strava. We default to putting everyone's location data online. Strava technically is doing nothing wrong here. It asked a user if it was ok to share their jog publicly, and it was. It's public. The problem is that "works as designed" and "safe to use" are not the same thing. All of these apps are trivially repurposable as intelligence tools given one oversharing user. Engineers don't think about that. They aren't supposed to. They're supposed to design for the happy path: Someone logs their run, all their friends see it, everyone's happier and more motivated. But the same data that shows how long your Sunday 5K was also shows a carrier strike group's patrol route. No amount of "please review our security recommendations" popups is going to fix a default of public. The question isn't whether militaries should be banning fitness applications. The question is whether any application that makes highly accurate location data public should be defaulting to public. The vast majority still do. What's the most dangerous "works as designed" default you've seen in something you've built or used?