'StravaLeaks': Le Monde, fitness uygulaması üzerinden Fransız uçak gemisinin konumunu gerçek zamanlı izledi

 (lemonde.fr)
2 puan yazan GN⁺ 2026-03-21 | 1 yorum | WhatsApp'ta paylaş
  • Bir Fransız donanma subayı, egzersiz kayıtlarını herkese açık profiliyle Strava fitness uygulamasına yükleyince, Akdeniz'de görev yapan Charles de Gaulle uçak gemisinin tam konumu gerçek zamanlı olarak ortaya çıktı
  • Le Monde, söz konusu verileri uydu görüntüleriyle çapraz doğrulayarak geminin Kıbrıs'ın kuzeybatısında, Türkiye kıyısından yaklaşık 100 km açıkta bulunduğunu teyit etti
  • Orta Doğu'daki savaş ortamında, İran bağlantılı unsurların daha önce iki Fransız askeri üssüne saldırmış olması nedeniyle, bu tür konum verilerinin ifşa edilmesi ciddi bir güvenlik tehdidi oluşturuyor
  • 2024 sonbaharında cumhurbaşkanı korumalarının Strava kullanımı sorunu ve 2025 Ocak'ta nükleer denizaltı devriye takviminin açığa çıkması gibi aynı güvenlik açığı tekrar tekrar yaşandı
  • Fransız Genelkurmayı bunun mevcut yönergelerin ihlali olduğunu kabul etti, ancak yapısal bir dijital güvenlik sistemi iyileştirmesi olmadan aynı sorunun bir sonraki uçak gemisinde de tekrarlanma ihtimali var

Olayın özeti: Strava üzerinden uçak gemisinin konumunun açığa çıkması

  • 13 Mart saat 10:35'te, Fransız donanma subayı "Arthur" (takma ad), gemi güvertesinde yaklaşık 7 km'yi 35 dakikada koştu ve bu veriyi akıllı saatiyle kaydederek Strava'ya herkese açık şekilde yükledi
  • Strava profilinin "public" olarak ayarlanmış olması nedeniyle, herkes bu egzersiz kaydı üzerinden uçak gemisinin tam konumunu neredeyse gerçek zamanlı olarak görebildi
  • Le Monde bu sayede Charles de Gaulle'ün Kıbrıs'ın kuzeybatısında, Türkiye kıyısından yaklaşık 100 km açıkta, Akdeniz'de bulunduğunu doğruladı
  • Fransız donanmasının taarruz grubu, uçak gemisine ek olarak en az 3 fırkateyn ve 1 destek gemisinden oluşuyor

Arka plan: Orta Doğu konuşlandırması ve güvenlik riski

  • 3 Mart'ta Cumhurbaşkanı Macron Orta Doğu'ya konuşlandırma emri verdi; karar, İsrail ve ABD'nin İran'a yönelik saldırısından hemen sonra alındı
  • Charles de Gaulle'ün aslında NATO tatbikatı kapsamında mayısa kadar Baltık Denizi'nde görev yapması planlanıyordu, ancak rota acilen değiştirildi
  • 6 Mart'ta Fransız makamları, geminin Cebelitarık Boğazı'ndan geçtiğini resmen duyurdu
  • Orta Doğu'daki Fransız askeri üslerinden en az 2'si İran bağlantılı unsurların saldırısına uğradı; Kuzey Irak'taki İHA saldırısında 1 Fransız askeri öldü, 6 asker yaralandı
  • Bu koşullarda uçak gemisinin hassas konum verilerinin açık bir web sitesine yüklenmesi, tehlikeli düzeyde bir dikkatsizlik anlamına geliyor

Verilerin çapraz doğrulanması: Uydu görüntüsü teyidi

  • Le Monde, Arthur'un Strava verileri üzerinden Charles de Gaulle'ün hareket rotasını izledi
    • 14 Şubat: Fransa'nın Cotentin Yarımadası kıyısı yakınında egzersiz kaydı
    • 26-27 Şubat: uçak gemisi İsveç'in Malmö kentinde demirliyken, Arthur Danimarka'nın Kopenhag kentinde karadaki aktivitelerini kaydetti
    • 13 Mart: Kıbrıs'ın kuzeybatısındaki Akdeniz'de aktivite
  • Arthur'un koşusundan yaklaşık 1 saat sonra çekilen uydu görüntüsünde, 262 metre uzunluğundaki uçak gemisinin silueti net biçimde ayırt edildi
  • Koşu rotası, hareket halindeki bir gemi üzerinde daireler çizerek koşulmuş bir biçim gösteriyordu ve uydu görüntüsündeki noktadan yaklaşık 6 km uzaktaydı
    • Bunun için iki olasılık var: Arthur uçak gemisinde koştuktan sonra gemi yer değiştirdi ya da refakat gemilerinden birine binmişti

Ek bulgular: Birden fazla Strava profilinin açığa çıkması

  • Arthur dışında, en az 1 başka herkese açık Strava profili de görevdeki gemilerden konum bilgisi içeren egzersiz kayıtları paylaştı
  • Bazı açık profillerde gemi güvertesi fotoğrafları, diğer askerlerin görüntüleri ve gemi içine kurulmuş fitness ekipmanlarının fotoğrafları bile yer alıyordu

Fransız Genelkurmayı'nın yanıtı

  • Fransız Genelkurmayı, koşu rotasının Strava'ya açık şekilde yüklenmesinin "mevcut yönergelere uyulmaması" anlamına geldiğini belirtti
  • Denizcilerin "ilgili yönergeler konusunda düzenli olarak bilgilendirildiğini" söyledi
  • "Dijital hijyen"in (digital hygiene) tüm konuşlandırma öncesi gerekliliklerin bir parçası olduğunu vurguladı
  • "Komuta kademesinin uygun önlemleri alacağını" ifade etti

Önceki StravaLeaks güvenlik açıkları

  • 2024 sonbaharında Le Monde'un "StravaLeaks" haberinde, Fransız, ABD'li ve Rus devlet başkanlarının korumalarının Strava kullanımı nedeniyle güvenlik açıkları ortaya çıkmıştı
    • Korumaların ve ailelerinin kimliklerinin tespiti, hareketlerinin izlenmesi ve devlet başkanlarının güzergâhlarının önceden tahmin edilmesi gibi riskler doğrulandı
  • 2025 Ocak'ta ise Fransız donanmasının nükleer tahrikli balistik füze denizaltısı (SSBN) mürettebatı, Strava üzerinden denizaltı devriye takvimine ilişkin bilgileri açığa çıkardı
    • O dönemde donanma, bunun "bazı personelin dikkatsizliği" olduğunu ve Ile Longue operasyon üssündeki faaliyetleri etkileyecek bir ihlal teşkil etmediğini söylemişti

Bir sonraki uçak gemisi ve kalan sorunlar

  • Bir sonraki Fransız uçak gemisi France Libre ("Özgür Fransa"), 2038 civarında Charles de Gaulle'ün yerini alacak
  • Azami 40 uçak taşıma kapasitesine, 3 uçak fırlatma sistemine ve drone ekipmanına sahip olacak
  • Cumhurbaşkanı Macron, inşasında "ülkenin en iyi yeteneklerinin, en nadir uzmanlıklarının ve en zorlu adanmışlığının" seferber edileceğini söyledi
  • Gelecekte denizcilerin egzersiz kayıtlarını herkese açık hesaplarda paylaşmayı sürdürüp sürdürmeyeceği ya da özel hesaba geçip geçmeyeceği, çözülmemiş bir sorun olarak kalıyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-03-21
Hacker News yorumları
  • Yaklaşık 3 yıl önce, Ukrayna'da 23 sivilin öldüğü bir füze saldırısına karışan eski bir Rus denizaltı komutanı öldürüldü
    Hareket rotasının Strava üzerinden takip edilmiş olabileceğine dair haberler çıkmıştı
    İlgili yazılar: CNN haberi, GIJN'in Strava kullanan araştırma örnekleri
  • Orduda bu tür konum bilgisi sızıntısı sorunları yaygındır
    Askerlerin telefon ve internet kullanımını tamamen engellemek zordur ve çoğu olay saflık ile rahatsızlıktan kaçınma eğiliminden kaynaklanır
    Ukrayna'da da bunun benzerleri hâlâ yaşanıyor
    • 15 yıl önce tugayımız tatbikattayken, karşı kuvvet (OPFOR) Tinder kullanarak karargâhın yerini üçgenleme ile bulmuştu
      Tinder'ın 1 millik konum bilgisini kullanarak topçu atışı simülasyonu yaptılar ve tugay komutanı bundan hiç hoşlanmamıştı
    • Eskiden kullanıcı adı olmadan sadece konum paylaşan bir fitness takip cihazı vardı
      Irak haritasında dikdörtgen rotalar görünüyordu; bunlar ABD askerlerinin üs içinde koşu yapmasının izleriydi
      Gizli bilgi değildi ama konum bilgisinin ne kadar kolay sızdığını gösteren bir örnekti
    • Üst rütbeliler bile Signal gibi güvenli iletişim uygulamalarını düzgün kullanmıyorsa, erleri suçlamanın zor olduğunu düşünüyorum
    • Doğrudan konum paylaşımı engellense bile, veri brokerları üzerinden bilgi toplanması yüzünden internete erişimin kendisi bile riskli olabilir
    • Savaşın ilk 2 yılında bu kuralları ihlal eden askerlerin çoğu ya öldü ya da yaralandı
      Son dönemde Rusya Savunma Bakanlığı, cephe hattı yakınında Telegram ya da Ukrayna iletişim ağlarını kullanan askerlere ağır disiplin cezaları veriyor
  • Bir uçak gemisinin konumunun gerçekten gizli olması gerekip gerekmediği sorgulanabilir
    Uydu çağında bunu saklamanın zor olduğunu düşünüyorum
    • Düşman bir ülke, askerlerin çevrimiçi hesap etkinliklerini takip edip rütbe, birlik ve uzmanlık alanı gibi bilgilerle birleştirirse, yalnızca konumdan fazlasını çıkarabilir
      Uydu kullanmadan da oldukça fazla bilgi elde edilebilir
    • Naval Gazing yazısına göre, uçak gemisinin konum gizliliği sadece 'hayatta kalabilirliğin bir katmanı'dır
      Tam görünmezlikten çok, çok katmanlı savunmanın bir parçası olarak görülmelidir
    • Uçak gemisi 17.000㎡ büyüklüğündedir ve yaklaşık 25 katlı bir bina yüksekliğindedir
      Saklanabilecek bir yapı değildir; gizlenme denizaltıların işidir
    • İstihbarat uyduları gerçek zamanlı değil, çoğu zaman birkaç saat önceki konumu verebilir
      Buna karşılık gerçek zamanlı GPS verisi, füze güdümü için çok daha elverişlidir
    • Strava hesabı belirli bir mürettebat üyesiyle ilişkilendirilirse, o kişinin karadaki hareket rotalarının da takip edilme riski doğar
  • ABD'de de geçmişte Strava yüzünden gizli üslerin konumu ifşa olmuştu
    (The Guardian haberi)
    Uçak gemisinin uydu internet kullanıp kullanmadığını, yoksa yalnızca kıyıya yakınken mi senkronizasyon yaptığını merak ediyorum
    Eğer ilkiyse, uygulama erişimi whitelist yaklaşımıyla sınırlandırılmalı
  • Eski CIA görevlisi Sarah Adams'ın sunduğu Your Phone Isn’t Safe Right Now podcast'inde bu konu ele alınıyordu
    Seyahat ederken dijital ayak izini azaltmanın 100 yolu anlatılmıştı ve en büyük tehditler olarak fitness uygulamaları ve flört uygulamaları gösterilmişti
  • Akdeniz'de bir uçak gemisini tespit edemeyecek bir ülke olduğunu sanmıyorum
    Çünkü bu bir stealth gemi değil
    • Akdeniz'de mümkün olabilir ama açık okyanusta tespit çok daha zordur
      Çünkü uydular tüm denizleri gerçek zamanlı izleyemez
    • MH370 kaybolma olayında olduğu gibi, devasa bir uçağı bile bulmak zordu
      Deniz üzerindeki gemileri tespit etmek asla basit bir iş değil
    • Eğer bir denizaltı Strava ile bulunmuş olsaydı, bu çok daha şaşırtıcı olurdu
    • Herkese açık API ile konum öğrenmekle devletin uydu varlıklarını kullanmak tamamen farklı meselelerdir
      Çoğu ülkenin keşif uydusu yoktur
    • Son dönemde Planet Labs gibi ticari uydu ağlarıyla da belli ölçüde takip mümkün hâle geldi, ama hâlâ sınırlar var
  • “Loose lips sink ships” sözündeki gibi, düşüncesiz telefon kullanımı da bir gemiyi tehlikeye atabilir
    • Muhtemelen gemi içindeki internet erişim noktaları üzerinden Strava çalışmıştır
      Fransız donanmasının BT birimi, riskli uygulamaları engelleme politikalarıyla yönetmeliydi
    • Kişisel telefonlarda kimin hangi yazılımı kurduğu bilinmez ve sadece internete bağlanmak bile veri toplama riski taşır
      Bu durum ordunun güvenlik farkındalığının yetersizliğini gösteriyor
  • Charles de Gaulle uçak gemisinin seyir hızı 27 knot olduğu için, koşan birinin pace hesabı tamamen bozulur
    Strava istatistikleri ciddi biçimde çarpıtılabilir
    • Sivil yolcular da bazen kruvaziyer güvertesinde koşuyor ve hızla mesafe verileri saçma sonuçlar verebiliyor
    • Haberdeki rotaya bakınca, geminin ilerleme yönünün tersine gidiyormuş gibi görünen bölümler var
      Muhtemelen uçak gemisi o sırada yavaş seyrediyordu
    • 7,2 km'yi 4:38 pace ile koşmuş ama rotanın tekrar etmesine bakılırsa gemi dairesel bir rota izliyor gibiydi
      Belki de Lübnan'a yaklaşmayı geciktirmeye çalışıyordu
    • Nabız temelli kalori hesaplaması da benzer hatalara yol açabilir
      Bazı ilaçları kullanan kişilerde günlük kalori tüketimi anormal derecede yüksek görünebiliyor
  • Bir uçak gemisi, kıyıdan sadece 10 m yükseklikte bile yaklaşık 28 mil uzaklıktan çıplak gözle görülebilir
    Bu yüzden Akdeniz kıyılarının büyük bölümünden gözlemlenebilmiş olması muhtemeldir
    • Kıyıya yakınken Strava kullanımına izin verilip hassas operasyonlar sırasında yasaklanması gibi bir politika olup olmadığını merak ediyorum
      Ya da bu olay, tam da böyle riskli davranışın bir örneği olabilir
    • Sadece koşu rotasının şeklinden bile rota ve hız tahmini yapılabilir
  • Küçük bir yan not olarak, bu tür egzersiz uygulamalarının gemi hareketini telafi edip etmediğini merak ediyorum
    Sonuçta kruvaziyerde koşan çok insan var ve veriler gerçekte olduğundan çarpık çıkabilir