'StravaLeaks': Le Monde rastreia em tempo real a localização de porta-aviões francês por meio de app de fitness

 (lemonde.fr)
2 pontos por GN⁺ 2026-03-21 | 1 comentários | Compartilhar no WhatsApp
  • Um oficial da Marinha francesa enviou registros de exercício para o app de fitness Strava usando um perfil público, expondo em tempo real a localização exata do porta-aviões Charles de Gaulle, em operação no Mediterrâneo
  • O Le Monde cruzou esses dados com imagens de satélite e confirmou a posição do porta-aviões a noroeste de Chipre, a cerca de 100 km da costa da Turquia
  • Em meio à guerra no Oriente Médio, grupos ligados ao Irã já haviam atacado duas bases militares francesas, de modo que essa divulgação de dados de localização representa uma grave ameaça de segurança
  • A mesma falha de segurança vem se repetindo, como no caso do uso do Strava por guarda-costas presidenciais no outono de 2024 e da exposição, em janeiro de 2025, da agenda de patrulha de um submarino nuclear
  • O Estado-Maior francês reconheceu que houve violação das diretrizes em vigor, mas sem uma melhoria estrutural no sistema de segurança digital, o mesmo problema pode se repetir no próximo porta-aviões

Visão geral do caso: exposição da posição do porta-aviões via Strava

  • Às 10h35 de 13 de março, o oficial da Marinha francesa "Arthur" (pseudônimo) registrou em seu smartwatch uma corrida de cerca de 7 km em 35 minutos no convés do navio, e os dados foram publicados abertamente no Strava
  • Como o perfil no Strava estava configurado como "público", qualquer pessoa podia verificar quase em tempo real a localização exata do porta-aviões a partir desse registro de atividade
  • Com isso, o Le Monde confirmou que o Charles de Gaulle estava no Mediterrâneo a noroeste de Chipre, a cerca de 100 km da costa turca
  • Além do porta-aviões, o grupo de ataque naval francês era composto por pelo menos 3 fragatas e 1 navio de apoio

Contexto: mobilização para o Oriente Médio e risco de segurança

  • Em 3 de março, o presidente Macron ordenou a mobilização para o Oriente Médio, em uma decisão tomada logo após os ataques de Israel e dos Estados Unidos contra o Irã
  • O Charles de Gaulle originalmente operaria no Báltico até maio como parte de um exercício da OTAN, mas houve uma mudança emergencial de plano
  • Em 6 de março, as autoridades francesas anunciaram oficialmente a passagem pelo estreito de Gibraltar
  • Pelo menos duas bases militares francesas no Oriente Médio foram atacadas por grupos ligados ao Irã e, em um ataque com drone no norte do Iraque, 1 militar francês morreu e 6 ficaram feridos
  • Nesse contexto, publicar dados precisos de localização do porta-aviões em um site aberto é um nível de descuido perigosamente alto

Verificação cruzada dos dados: confirmação por imagens de satélite

  • O Le Monde rastreou a rota do Charles de Gaulle usando os dados do Strava de Arthur
    • 14 de fevereiro: registro de atividade perto da costa da península de Cotentin, na França
    • 26 a 27 de fevereiro: enquanto o porta-aviões estava atracado em Malmö, na Suécia, Arthur registrou atividade em terra em Copenhague, na Dinamarca
    • 13 de março: atividade no Mediterrâneo, a noroeste de Chipre
  • Em uma imagem de satélite capturada cerca de 1 hora depois da corrida de Arthur, a silhueta do porta-aviões, com 262 m de comprimento, foi claramente identificada
  • A rota da corrida tinha o formato de círculos feitos sobre um navio em movimento e estava a cerca de 6 km do ponto da captura por satélite
    • Há duas possibilidades: Arthur correu a bordo do porta-aviões e o navio se deslocou depois, ou ele estava em uma das embarcações de escolta

Descoberta adicional: exposição de vários perfis no Strava

  • Além de Arthur, pelo menos mais 1 perfil público no Strava publicou registros de atividade com informações de localização a partir de embarcações em operação
  • Alguns perfis públicos incluíam fotos do convés do navio, fotos de outros militares e até imagens de equipamentos de fitness instalados no interior da embarcação

Resposta do Estado-Maior francês

  • O Estado-Maior francês declarou que publicar no Strava a rota da corrida foi "uma ação que não cumpriu as diretrizes em vigor"
  • Também afirmou que os marinheiros "recebem regularmente orientações sobre essas diretrizes"
  • Destacou ainda que a "higiene digital (digital hygiene)" faz parte de todos os pré-requisitos antes de qualquer mobilização
  • E respondeu que "medidas apropriadas serão tomadas" pelo comando

Falhas de segurança anteriores do StravaLeaks

  • No outono de 2024, a reportagem "StravaLeaks" do Le Monde expôs falhas de segurança causadas pelo uso do Strava por guarda-costas dos presidentes da França, dos Estados Unidos e da Rússia
    • Foi possível identificar os próprios agentes e seus familiares, rastrear deslocamentos e até prever previamente os trajetos presidenciais
  • Em janeiro de 2025, tripulantes de um submarino francês nuclear lançador de mísseis balísticos (SSBN) também expuseram informações sobre a agenda de patrulha do submarino por meio do Strava
    • Na época, a Marinha respondeu que se tratava de "descuido de parte de alguns integrantes" e que não era uma violação que afetasse as atividades da base operacional de Ile Longue

O próximo porta-aviões e as tarefas que ainda restam

  • O próximo porta-aviões francês, France Libre ("França Livre"), deve substituir o Charles de Gaulle por volta de 2038
  • Ele poderá transportar até 40 aeronaves, com 3 catapultas de lançamento e equipamentos para drones
  • O presidente Macron afirmou que sua construção mobilizará "os melhores talentos do país, a expertise mais rara e a vocação mais exigente"
  • Continua em aberto a questão de saber se, no futuro, os marinheiros seguirão compartilhando registros de exercício em contas públicas ou se migrarão para perfis privados

Leituras relacionadas

1 comentários

 
GN⁺ 2026-03-21
Comentários do Hacker News
  • Cerca de 3 anos atrás, morreu um ex-comandante de submarino russo envolvido em um ataque de míssil que matou 23 civis ucranianos
    Houve reportagens sugerindo que seus deslocamentos foram rastreados pelo Strava
    Artigos relacionados: reportagem da CNN, caso investigativo da GIJN usando Strava
  • Nas forças armadas, esse tipo de problema de vazamento de localização é comum
    É difícil impedir totalmente que soldados usem celular e internet, e na maioria das vezes isso vem de ingenuidade e da tentativa de evitar inconveniência
    Isso ainda continua acontecendo na Ucrânia
    • Há 15 anos, nossa brigada estava em treinamento, e a força oposta (OPFOR) usou o Tinder para triangular a localização do quartel-general
      Usaram a informação de localização em unidades de 1 milha do Tinder para simular um bombardeio, e o comandante da brigada ficou muito irritado
    • Antigamente havia um rastreador fitness que publicava apenas a localização, sem nome de usuário
      Apareceram rotas retangulares no mapa do Iraque, que eram registros de soldados americanos correndo dentro da base
      Não era algo confidencial, mas foi um caso que mostrou como dados de localização vazam com facilidade
    • Se até os superiores não usam direito apps de comunicação segura como o Signal, acho difícil culpar os soldados
    • Mesmo que se impeça o compartilhamento direto de localização, a coleta de informações por meio de data brokers pode tornar o próprio acesso à internet perigoso
    • Nos primeiros 2 anos da guerra, a maioria dos soldados que quebrava essas regras acabou morta ou ferida
      Recentemente, o Ministério da Defesa russo vem aplicando punições severas a soldados que usam Telegram ou redes de comunicação ucranianas perto da linha de frente
  • Fico em dúvida se a localização de um porta-aviões realmente precisa ser secreta
    Acho difícil escondê-lo de satélites
    • Se um país inimigo rastrear a atividade de contas online dos militares e combinar posto, unidade, especialidade etc., pode descobrir muito mais do que uma simples localização
      Dá para obter bastante informação mesmo sem satélites
    • Segundo um texto do Naval Gazing, o sigilo da localização de um porta-aviões é apenas uma camada de sobrevivência
      Deve ser visto como um entre vários meios de defesa, não como ocultação total
    • Um porta-aviões tem 17.000㎡ e altura equivalente a um prédio de 25 andares
      Não é uma estrutura que dê para esconder; ocultação é papel de submarino
    • Satélites de reconhecimento não mostram posição em tempo real, mas apenas a de algumas horas antes
      Já dados de GPS em tempo real são muito mais úteis para guiar mísseis
    • Se uma conta do Strava for associada a um tripulante específico, há risco de rastrearem até mesmo seus deslocamentos em terra
  • Os EUA também já tiveram um caso de exposição da localização de bases secretas pelo Strava
    (artigo do The Guardian)
    Fico curioso se porta-aviões usam internet via satélite ou se sincronizam só perto da costa
    Se for o primeiro caso, o acesso a apps deveria ser restrito por whitelist
  • O podcast Your Phone Isn’t Safe Right Now, apresentado pela ex-agente da CIA Sarah Adams, tratou desse tema
    Ele apresentou 100 maneiras de reduzir rastros digitais durante viagens, e apontou apps de fitness e de namoro como as maiores ameaças
  • Acho que não existe país que não consiga detectar um porta-aviões no Mediterrâneo
    Não é uma embarcação stealth
    • No Mediterrâneo isso pode até ser verdade, mas no oceano aberto a detecção é muito mais difícil
      É difícil para satélites monitorarem todas as áreas marítimas em tempo real
    • Como no caso do desaparecimento do MH370, até um avião enorme foi difícil de encontrar
      Detectar navios no mar está longe de ser simples
    • Teria sido muito mais surpreendente se tivessem encontrado um submarino pelo Strava
    • Descobrir localização por uma API pública e usar ativos satelitais estatais são coisas completamente diferentes
      A maioria dos países não possui satélites de reconhecimento
    • Recentemente, redes privadas de satélites como a da Planet Labs passaram a permitir algum nível de rastreamento, mas ainda há limitações
  • Como diz a frase “Loose lips sink ships”, o uso descuidado de celulares também pode afundar embarcações
    • Provavelmente o Strava funcionou por meio de algum ponto de acesso à internet dentro do navio
      O departamento de TI da Marinha francesa deveria gerenciar apps perigosos com uma política de bloqueio
    • Em celulares pessoais, não dá para saber que software está instalado, e só a conexão à internet já traz risco de coleta de dados
      Esse tipo de situação mostra falta de conscientização de segurança nas forças armadas
  • O porta-aviões Charles de Gaulle navega a 27 nós, o que bagunça completamente o cálculo de ritmo de quem está correndo
    As estatísticas do Strava podem ficar bastante distorcidas
    • Civis também correm no convés de navios de cruzeiro, e os dados de velocidade e distância acabam saindo estranhos
    • Pelas rotas mostradas na matéria, há trechos em que o movimento aparece no sentido oposto ao do navio
      Talvez o porta-aviões estivesse navegando lentamente
    • Foram 7,2 km a ritmo de 4:38, e como a rota se repete, parece que o navio estava fazendo um trajeto circular
      Talvez fosse uma tentativa de atrasar a aproximação da costa do Líbano
    • O cálculo de calorias com base na frequência cardíaca pode gerar erro parecido
      Há casos em que certos medicamentos fazem o gasto calórico diário aparecer anormalmente alto
  • Se um porta-aviões estiver a apenas 10 m acima da costa, ele pode ser visto a olho nu a cerca de 28 milhas de distância
    Provavelmente seria observável de grande parte do litoral do Mediterrâneo
    • Fico curioso se existe uma política em que o uso do Strava é permitido perto da costa e proibido durante operações sensíveis
      Ou talvez este caso seja justamente um exemplo desse tipo de conduta arriscada
    • Só pelo formato da rota de corrida já dá para estimar curso e velocidade
  • Como observação lateral, fico curioso se esses apps de exercício compensam o movimento do navio
    Muita gente corre em cruzeiros, então os dados podem acabar ficando distorcidos em relação à atividade real