Lần vi phạm thứ nhất
Strava xuất hiện lần đầu trên thị trường vào năm 2009. Ứng dụng này sử dụng công nghệ định vị toàn cầu (GPS) để theo dõi hành trình của những người tập chạy bộ, đi bộ đường trường, đạp xe đạp,... Người dùng Strava biết được mình đi được bao xa, tiêu tốn bao nhiêu calories, tốc độ nhanh chậm thế nào so với những người dùng khác. Trong trường hợp người tập thể dục gặp tai nạn hay vấn đề sức khỏe giữa đường, Strava giúp các cơ quan cứu hộ sớm tìm được nạn nhân. Mặt khác Strava cũng bán dữ liệu GPS mà mình thu thập được cho các nhà quy hoạch giao thông và đô thị.
Năm 2018, Strava bắt đầu công bố rộng rãi bản đồ nhiệt mang phạm vi toàn cầu. "Bản đồ nhiệt" này thực chất là sơ đồ tổng hợp hoạt động của người dùng Strava. Đoạn đường nào càng có nhiều người đi lại thì càng hiện rõ trên bản đồ. Ngoài ra người sử dụng bản đồ còn có thể click vào tuyến đường để xem thông tin về từng cá nhân đi trên đường, xem họ đi bao xa, đi vào giờ nào, có nhận xét gì về chất lượng đường sá không? Strava có dụng ý tốt khi công bố bản đồ nhiệt, nhưng họ không thể ngờ rằng mình đang để lộ thông tin của hàng chục triệu khách hàng.
Chỉ thông qua bản đồ nhiệt, người ta đã có thể phát hiện ra nhiều nhân viên tình báo tại trụ sở CIA ở Langley, bang Virginia, Mỹ hay chạy bộ trên tuyến đường nào, vào giờ nào?
Nhưng tai hại nhất là dữ liệu liên quan đến binh lính Mỹ hiện đang đóng quân ở nước ngoài. Tờ New York Times đã xác định được tên tuổi, cấp bậc của 50 binh lính Mỹ hiện đóng quân tại Sân bay Hải quân Hoàng gia U-Tapao của Thái Lan.
Một số binh lính Mỹ đóng tại sân bay quân sự Chabelley ở Djibouti cũng đã bị "điểm mặt, chỉ tên" bởi vì Strava. Tuyến đường dài 7km chạy vòng quay sân bay sáng rực trên bản đồ nhiệt vì có quá nhiều binh lính Mỹ tập chạy bộ. Căn cứ Camp Lemonnier của Mỹ cũng ở Djibouti đang gặp phải vấn đề tương tự. Điều đáng nói là sân bay Chabelley và căn cứ Lemonnier hiện đang là sở chỉ huy cuộc chiến của Mỹ tại Yemen và Somalia. Binh lính và máy bay không người lái vẫn đang hằng ngày xuất kích từ hai căn cứ trên. Chưa hết, Camp Lemonnier còn là nơi đặt căn cứ bí mật của CIA chuyên phục vụ hoạt động thẩm vấn và tra tấn.
Không chỉ mình chính phủ Mỹ phải "đau đầu" vì Strava. Một cuộc điều tra được hai tờ báo Pháp Le Canard Enchané và Le Télégramme phối hợp thực hiện đã chỉ ra không ít lỗ hổng thông tin do Strava gây ra tại Pháp. Hai tờ báo phát hiện một số nhân viên của Tổng cục An ninh Đối ngoại (DGSE) và Tổng cục An ninh Nội địa (DGSI) đã vô tình để lộ thông tin hoạt động đi lại của mình. Hay là thông qua Strava, các nhà báo Pháp đã tìm ra tên tuổi, địa chỉ nhà và thân nhân của một loạt binh sĩ thuộc lực lượng tên lửa hạt nhân đang đóng tại căn cứ tên lửa ở trên bán đảo Ile Longue, miền tây bắc nước này.
Việc Strava để lộ thông tin người dùng thông qua bản đồ nhiệt đã gây chấn động dư luận nhiều nước. Điều đáng chú ý là mặc cho phản ứng của công luận, Strava chưa từng phải chịu bất kỳ vụ kiện hay sự trừng phạt từ chính quyền các nước. Nhà báo người Mỹ Ken Klippenstein giải thích trên tờ The Intercept: "Strava ghi rõ trong điều khoản người dùng của họ rằng chỉ khi nào khách hàng tự nguyện chia sẻ thông tin với Strava thì mới được sử dụng ứng dụng. Việc họ sử dụng dữ liệu của khách hàng để tạo ra bản đồ nhiệt rồi công bố rộng rãi vì thế không có gì là sai với hợp đồng đã ký với người dùng...
Strava không chỉ đơn giản là một app trên điện thoại của bạn. Nhiều nhà sản xuất thiết bị thông minh như Garmin, Google, Suunto và Wahoo đang sử dụng cơ sở hạ tầng của Strava để cung cấp tính năng hỗ trợ người tập thể dục trên sản phẩm của họ. Bất kỳ vụ kiện nhắm đến Strava nào cũng sẽ phải tính đến các đối tượng thứ ba kể trên.
Kể từ khi vụ scandal xảy ra, Strava đã đưa ra một số điều chỉnh nhằm tăng tính bảo mật dữ liệu cá nhân, trong đó quan trọng nhất là cho phép người sử dụng làm ẩn đi thông tin hoạt động của mình. Mặt khác nhà chức trách nhiều nước cũng đã ban hành các quy định mới về việc sử dụng Strava và những ứng dụng, thiết bị thông minh khác. Đơn cử như Lầu Năm Góc đã cấm mọi binh sĩ không được đeo thiết bị thông minh trên người khi đang ở trong căn cứ. Bất kỳ thiết bị nào có chức năng di động, wifi, chụp ảnh, quay video và ghi âm đều phải được sĩ quan chỉ huy cho phép mới được sử dụng.
Không gì thay đổi
Hai tờ báo Pháp Le Monde và Mediapart mới đây tiết lộ rằng hơn 1.000 binh sĩ và cảnh sát Pháp đang thường xuyên để lộ thông tin cá nhân thông qua Strava, trong đó có 200 binh lính thuộc các lực lượng đặc nhiệm và 12 cận vệ của Tổng thống Pháp thuộc đơn vị GSPR. Thông tin về các cận vệ của Tổng thống Emmanuel Macron đang thu hút sự chú ý của dư luận Pháp.
Theo tờ Le Monde, thông qua việc theo dõi lịch sử chạy bộ của các cận vệ, phóng viên tờ báo này đã có thể tìm ra Tổng thống Macron hiện đang trú tại phòng nào của khách sạn nào hoặc là ông đang gặp gỡ với ai. Chưa hết, các cận vệ người Pháp còn chia sẻ thông tin và ảnh về gia đình, bạn bè của họ. Kẻ xấu hoàn toàn có thể sử dụng thông tin này để đe dọa các cận vệ và qua họ mà gây nguy hiểm cho Tổng thống Macron.
Tổng thống Mỹ Joe Biden cũng đang bị lộ thông tin mật vì Strava. Báo Mediapart tiết lộ họ đã xác định được danh tính và thông tin liên lạc của 26 nhân viên Sở Mật vụ Mỹ thông qua Strava. Một người trong số này từng tháp tùng Tổng thống Biden trong cuộc gặp mặt giữa ông và Chủ tịch Trung Quốc Tập Cận Bình tại thành phố San Francisco vào tháng 11/2023. Khách sạn nơi ông Biden nghỉ lại được Sở Mật vụ giữ bí mật tuyệt đối, vậy mà chỉ vì một nhân viên quên mất việc cài đặt ứng dụng Strava mà bí mật đã bị lộ.
Không chỉ các chính khách mới chịu ảnh hưởng bởi Strava. Vào rạng sáng ngày 10/7/2023, nguyên Đại úy hải quân Nga Stanislav Rzhitsky đang chạy bộ tại một công viện ở thành phố Krasnodar thì bất ngờ bị sát hại bởi Sergei Denysenko, một người Ukraine mới trở thành công dân Nga được hai năm. Lý do được Denysenko đưa ra cho tội ác của mình là đối tượng này tìm hiểu được qua mạng xã hội Telegram rằng Rzhitsky từng có thời gian là chỉ huy chiếc tàu ngầm Krasnodar (lớp tàu Kilo) thuộc biên chế Hạm đội Biển Đen của Nga. Tàu ngầm Krasnodar từng tấn công thành phố Vinnytsia của Ukraine bằng tên lửa vào ngày 2/7/2023.
Để trả thù cho cuộc tấn công vào Vinnytsia, Denysenko đã theo dõi tài khoản Stava của Rzhitsky và biết được nạn nhân thường xuyên chạy bộ quanh công viên thành phố vào khoảng 6 giờ sáng. Kẻ sát nhân sau đó chọn một chỗ đằng sau bụi cây và không có camera theo dõi để phục kích nạn nhân. Rzhitsky bị bắn ba phát vào người và tử vong ngay tại chỗ. Do trời mưa xóa hết dấu vết nên cảnh sát Nga phải mất hai ngày mới bắt được Denysenko. Ngày 29/10/2024, tòa án thành phố Krasnodar tuyên án Sergei Denysenko 25 năm tù giam và phải bồi thường cho gia đình nạn nhân 5 triệu rúp Nga.
Việc Strava đi từ scandal này đến scandal khác là hồi chuông báo động cho các nhà lập pháp về việc phải quy định và kiểm soát chặt chẽ hơn thị trường thiết bị và phần mềm hỗ trợ thể dục.
Ông Ibrahim Baggili, giáo sư ngành bảo mật thông tin tại Trường đại học bang Louisiana (Mỹ) nhận xét: "Thông tin là sức mạnh, và kẻ xấu biết được càng nhiều thông tin về bạn thì họ lại càng có nhiều quyền lực thao túng bạn. Mặt khác các công ty cung cấp ứng dụng tập thể dục muốn khai thác càng nhiều dữ liệu về khách hàng càng tốt. Đấy là vì nguồn doanh thu chính của họ là từ việc bán dữ liệu khách hàng cho bên thứ ba. Các công ty này sẽ không bao giờ nghiêm túc bảo vệ quyền riêng tư và an toàn thông tin của khách hàng. Đây là lúc các chính phủ phải vào cuộc và đưa ra luật pháp quy định rõ ràng nhằm bảo vệ người tiêu dùng".
Dù tắt định vị, người dùng vẫn bị Google theo dõi 
Cuộc chiến của những phần mềm gián điệp 
