Suomalaisen Polarin fitness-sovellus Flow on paljastanut käyttäjiensä arkaluonteisia sijaintitietoja, selvisi suomalaisen Long Playn, hollantilaisen De Correspondentin ja kansalaisjournalistien Bellingcat-ryhmän tutkimuksissa.
Tutkimuksissa kävi ilmi, että Flow-sovelluksen datan avulla on mahdollista selvittää satojen sotilaiden ja tiedustelutyöntekijöiden kotiosoitteet.
Työryhmä löysi nimiä ja kotiosoitteita useiden eri valtioiden tiedustelupalvelujen ja salaisten palvelujen työntekijöille. Heidän joukossaan oli muun muassa Yhdysvaltojen NSA:n, Britannian GCHQ:n ja MI6:n sekä Venäjän GRU:n työntekijöitä. Mukana oli myös useita suomalaisia, jotka ovat urheilleet kansainvälisten sotilasoperaatioiden keskuksissa.
Flow-sovelluksen käyttäjiä löytyi useista sotilastukikohdista, muun muassa Pohjois-Irakin Erbilistä, Kuuban Guantanamo Baysta ja Malin Gaosta.
Työryhmä onnistui kokoamaan yli 6 000 Flow-käyttäjän tiedot. Suuri osa paljastuneista tiedoista löytyi sovelluksen julkisesta kartasta. Kuitenkin työryhmä pääsi käsiksi myös sellaisten käyttäjien tietoihin, jotka eivät olleet tehneet käyttäjäprofiileistaan julkisia.
Long Playn mukaan Flow-sovelluksen haavoittuvuus teki mahdolliseksi yksittäisen kuntoiluhetken yhdistämisen yksilölliseen käyttäjäkoodiin ja käyttäjän muihin urheilusuorituksiin. Muokkaamalla verkko-osoitetta sovelluksen selainversion karttanäkymässä työryhmä sai esiin rajattomasti käyttäjien kuntoilusuorituksia.