'StravaLeaks': Le Monde theo dõi vị trí tàu sân bay Pháp theo thời gian thực qua ứng dụng thể dục

 (lemonde.fr)
2 điểm bởi GN⁺ 2026-03-21 | 1 bình luận | Chia sẻ qua WhatsApp
  • Một sĩ quan hải quân Pháp đã tải lịch sử tập luyện lên ứng dụng thể dục Strava bằng hồ sơ công khai, khiến vị trí chính xác của tàu sân bay Charles de Gaulle đang hoạt động tại Địa Trung Hải bị lộ gần như theo thời gian thực
  • Le Monde đã đối chiếu dữ liệu này với ảnh vệ tinh và xác nhận vị trí của tàu sân bay ở phía tây bắc Cyprus, cách bờ biển Thổ Nhĩ Kỳ khoảng 100 km
  • Trong bối cảnh chiến sự Trung Đông, các lực lượng có liên hệ với Iran đã từng tấn công 2 căn cứ quân sự của Pháp, nên việc công khai dữ liệu vị trí như vậy là một mối đe dọa an ninh nghiêm trọng
  • Cùng một lỗ hổng an ninh đã lặp đi lặp lại, từ vấn đề các cận vệ tổng thống dùng Strava vào mùa thu năm 2024 đến việc lịch tuần tra của tàu ngầm hạt nhân bị lộ vào tháng 1/2025
  • Bộ Tổng tham mưu quân đội Pháp thừa nhận đây là hành vi vi phạm chỉ thị hiện hành, nhưng nếu không cải thiện mang tính cấu trúc đối với hệ thống an ninh số, khả năng vấn đề tương tự tái diễn trên tàu sân bay thế hệ tiếp theo vẫn hiện hữu

Tổng quan vụ việc: lộ vị trí tàu sân bay qua Strava

  • Vào 10 giờ 35 sáng ngày 13/3, một sĩ quan hải quân Pháp có tên "Arthur" (bí danh) đã chạy khoảng 7 km trong 35 phút trên boong tàu và dữ liệu được ghi lại bằng đồng hồ thông minh rồi tải công khai lên Strava
  • Do hồ sơ Strava được đặt ở chế độ "công khai (public)", bất kỳ ai cũng có thể xác định gần như theo thời gian thực vị trí chính xác của tàu sân bay qua bản ghi luyện tập đó
  • Qua đó, Le Monde xác nhận Charles de Gaulle đang ở vùng biển Địa Trung Hải phía tây bắc Cyprus, cách bờ biển Thổ Nhĩ Kỳ khoảng 100 km
  • Cụm tác chiến hải quân Pháp ngoài tàu sân bay còn bao gồm ít nhất 3 tàu frigate và 1 tàu hỗ trợ

Bối cảnh: triển khai tại Trung Đông và rủi ro an ninh

  • Ngày 3/3, Tổng thống Macron ra lệnh triển khai đến Trung Đông, quyết định được đưa ra ngay sau đòn tấn công của Israel và Mỹ nhằm vào Iran
  • Charles de Gaulle ban đầu dự kiến hoạt động tại Baltic đến tháng 5 trong khuôn khổ huấn luyện NATO, nhưng đã được điều hướng khẩn cấp
  • Ngày 6/3, giới chức Pháp chính thức công bố việc đi qua eo biển Gibraltar
  • Ít nhất 2 căn cứ quân sự của Pháp ở Trung Đông đã bị các lực lượng liên hệ với Iran tấn công; trong một vụ tấn công bằng drone ở miền bắc Iraq, 1 binh sĩ Pháp thiệt mạng, 6 người bị thương
  • Trong tình huống như vậy, việc tải dữ liệu vị trí chính xác của tàu sân bay lên một website công khai là sự bất cẩn ở mức độ nguy hiểm

Đối chiếu dữ liệu: xác nhận bằng ảnh vệ tinh

  • Le Monde đã lần theo hành trình của Charles de Gaulle thông qua dữ liệu Strava của Arthur
    • Ngày 14/2: có bản ghi tập luyện gần bờ biển bán đảo Cotentin của Pháp
    • Ngày 26~27/2: khi tàu sân bay neo tại Malmö, Thụy Điển, Arthur ghi nhận hoạt động trên bộ ở Copenhagen, Đan Mạch
    • Ngày 13/3: hoạt động tại Địa Trung Hải phía tây bắc Cyprus
  • Trong ảnh vệ tinh chụp khoảng 1 giờ sau lần chạy của Arthur, có thể nhận diện rõ bóng dáng của tàu sân bay dài 262 m
  • Lộ trình chạy mang dạng chạy vòng tròn trên một con tàu đang di chuyển, và nằm cách vị trí chụp vệ tinh khoảng 6 km
    • Có hai khả năng: Arthur chạy trên tàu sân bay rồi con tàu tiếp tục di chuyển, hoặc anh ta đang ở trên một trong các tàu hộ tống

Phát hiện thêm: lộ nhiều hồ sơ Strava

  • Ngoài Arthur, còn có ít nhất 1 hồ sơ Strava công khai khác đã đăng bản ghi luyện tập có thông tin vị trí từ các tàu đang làm nhiệm vụ
  • Một số hồ sơ công khai còn có ảnh boong tàu, ảnh các quân nhân khác, thậm chí cả ảnh thiết bị tập thể dục lắp bên trong tàu

Phản ứng của Bộ Tổng tham mưu quân đội Pháp

  • Bộ Tổng tham mưu quân đội Pháp cho biết việc công khai tải lộ trình chạy lên Strava là hành vi "không tuân thủ chỉ thị hiện hành"
  • Họ nói các thủy thủ "thường xuyên được phổ biến các chỉ thị liên quan"
  • Đồng thời nhấn mạnh "vệ sinh số (digital hygiene)" nằm trong mọi điều kiện tiên quyết trước khi triển khai lực lượng
  • Cơ quan này trả lời rằng "bộ chỉ huy sẽ có biện pháp thích hợp"

Các lỗ hổng StravaLeaks trước đây

  • Vào mùa thu năm 2024, loạt bài "StravaLeaks" của Le Monde đã phơi bày lỗ hổng an ninh do các cận vệ của tổng thống Pháp, Mỹ và Nga sử dụng Strava
    • Có thể xác định danh tính của cận vệ và gia đình họ, theo dõi di chuyển, thậm chí dự đoán trước lộ trình của tổng thống
  • Tháng 1/2025, các thủy thủ đoàn trên tàu ngầm hạt nhân mang tên lửa đạn đạo (SSBN) của hải quân Pháp cũng để lộ lịch tuần tra tàu ngầm qua Strava
    • Khi đó hải quân trả lời đây là "sự bất cẩn của một số cá nhân", và không phải vi phạm ảnh hưởng đến hoạt động của căn cứ tác chiến Ile Longue

Tàu sân bay kế tiếp và bài toán còn lại

  • Tàu sân bay tiếp theo của Pháp là France Libre ("Nước Pháp Tự do") dự kiến sẽ thay thế Charles de Gaulle vào khoảng năm 2038
  • Tàu có thể mang tối đa 40 máy bay, được trang bị 3 máy phóng máy bay cùng thiết bị cho drone
  • Tổng thống Macron nói rằng việc đóng tàu sẽ huy động "những tài năng tốt nhất của quốc gia, chuyên môn hiếm có nhất và sứ mệnh khắt khe nhất"
  • Việc trong tương lai các thủy thủ có tiếp tục chia sẻ dữ liệu tập luyện trên tài khoản công khai hay sẽ chuyển sang chế độ riêng tư vẫn là bài toán chưa được giải quyết

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-03-21
Ý kiến trên Hacker News
  • Khoảng 3 năm trước, một cựu chỉ huy tàu ngầm Nga có liên quan đến một cuộc tấn công bằng tên lửa khiến 23 thường dân Ukraine thiệt mạng đã chết
    Có tin cho rằng lộ trình di chuyển của ông ta đã bị theo dõi qua Strava
    Bài liên quan: CNN đưa tin, ví dụ điều tra của GIJN sử dụng Strava
  • Trong quân đội, kiểu rò rỉ thông tin vị trí này là chuyện thường gặp
    Rất khó cấm hoàn toàn binh sĩ dùng điện thoại và internet, và phần lớn bắt nguồn từ sự ngây thơ cùng tâm lý muốn tránh bất tiện
    Ở Ukraine, chuyện này vẫn đang tiếp diễn
    • Cách đây 15 năm, khi lữ đoàn của chúng tôi đang huấn luyện, quân đối địch (OPFOR) đã dùng Tinder để tam giác hóa vị trí sở chỉ huy
      Họ dùng thông tin vị trí theo đơn vị 1 dặm của Tinder để mô phỏng pháo kích, và lữ đoàn trưởng rất khó chịu
    • Trước đây từng có một fitness tracker chỉ công khai vị trí mà không có tên người dùng
      Trên bản đồ Iraq xuất hiện những tuyến đường hình chữ nhật, đó là dấu vết lính Mỹ chạy bộ bên trong căn cứ
      Không phải bí mật tuyệt đối, nhưng là ví dụ cho thấy dữ liệu vị trí dễ bị rò rỉ đến mức nào
    • Nếu ngay cả cấp trên còn không dùng đúng cách các ứng dụng liên lạc bảo mật như Signal, thì thật khó trách binh sĩ
    • Ngay cả khi chặn chia sẻ vị trí trực tiếp, việc thu thập thông tin qua data broker cũng có thể khiến bản thân quyền truy cập internet trở nên nguy hiểm
    • Trong 2 năm đầu chiến tranh, phần lớn binh sĩ vi phạm các quy tắc này đã tử trận hoặc bị thương
      Gần đây, Bộ Quốc phòng Nga đang áp dụng kỷ luật rất nặng với những binh sĩ dùng Telegram hoặc mạng viễn thông Ukraine gần tiền tuyến
  • Tôi nghi ngờ việc vị trí tàu sân bay có thực sự cần phải bí mật hay không
    Tôi nghĩ rất khó giấu được trước vệ tinh
    • Nếu quốc gia đối địch theo dõi hoạt động trên tài khoản trực tuyến của quân nhân rồi ghép nối cấp bậc, đơn vị, chuyên môn..., họ có thể biết được nhiều hơn là chỉ vị trí đơn thuần
      Ngay cả không cần vệ tinh vẫn có thể thu được rất nhiều thông tin
    • Theo bài viết của Naval Gazing, tính bí mật của vị trí tàu sân bay chỉ là “một lớp sống còn
      Nên xem đó là một trong nhiều biện pháp phòng thủ, chứ không phải khả năng che giấu hoàn toàn
    • Tàu sân bay có quy mô 17.000㎡, tương đương chiều cao của tòa nhà 25 tầng
      Đó không phải kiểu cấu trúc có thể che giấu được; vai trò ẩn mình thuộc về tàu ngầm
    • Vệ tinh trinh sát không cho biết vị trí theo thời gian thực mà chỉ là vị trí vài giờ trước
      Trong khi đó, dữ liệu GPS thời gian thực có lợi hơn nhiều cho việc dẫn đường tên lửa
    • Nếu tài khoản Strava được liên kết với một thủy thủ cụ thể, còn có nguy cơ bị theo dõi cả lộ trình di chuyển trên đất liền của người đó
  • Trước đây Mỹ cũng từng có vụ vị trí căn cứ bí mật bị lộ qua Strava
    (bài báo của The Guardian)
    Tôi tò mò không biết tàu sân bay có dùng internet vệ tinh hay chỉ đồng bộ khi ở gần bờ
    Nếu là trường hợp đầu, cần hạn chế quyền truy cập ứng dụng theo kiểu whitelist
  • Podcast Your Phone Isn’t Safe Right Now do cựu nhân viên CIA Sarah Adams thực hiện đã đề cập vấn đề này
    Podcast giới thiệu 100 cách để giảm dấu vết số khi đi lại, và coi ứng dụng thể dục và ứng dụng hẹn hò là mối đe dọa lớn nhất
  • Tôi nghĩ không có quốc gia nào không thể phát hiện tàu sân bay ở Địa Trung Hải
    Vì đó không phải tàu tàng hình
    • Ở Địa Trung Hải thì có thể, nhưng ngoài đại dương thì việc phát hiện khó hơn nhiều
      Vì vệ tinh khó có thể giám sát theo thời gian thực mọi vùng biển
    • Giống như vụ mất tích MH370, ngay cả máy bay khổng lồ cũng rất khó tìm
      Việc phát hiện tàu thuyền trên biển hoàn toàn không hề đơn giản
    • Nếu tìm được tàu ngầm bằng Strava thì còn gây kinh ngạc hơn nhiều
    • Việc biết vị trí qua API công khai và việc dùng tài sản vệ tinh cấp quốc gia là hai chuyện hoàn toàn khác nhau
      Phần lớn các quốc gia không sở hữu vệ tinh trinh sát
    • Gần đây, các mạng vệ tinh dân sự như Planet Labs cũng đã cho phép theo dõi ở một mức độ nhất định, nhưng vẫn còn giới hạn
  • Giống như câu “Loose lips sink ships”, việc dùng điện thoại bừa bãi cũng có thể khiến tàu chiến gặp họa
    • Có lẽ Strava đã hoạt động qua điểm truy cập internet trên tàu
      Bộ phận IT của hải quân Pháp cần quản lý các ứng dụng nguy hiểm bằng chính sách chặn
    • Điện thoại cá nhân không biết cài phần mềm của ai, và chỉ cần có kết nối internet cũng đã có nguy cơ thu thập dữ liệu rất lớn
      Tình huống này cho thấy quân đội còn thiếu nhận thức về bảo mật
  • Tàu sân bay Charles de Gaulle có tốc độ hành trình 27 hải lý/giờ, nên việc tính pace của người chạy sẽ bị sai lệch hoàn toàn
    Thống kê Strava có thể bị méo mó đáng kể
    • Người dân thường cũng hay chạy trên boong tàu du lịch, nên dữ liệu tốc độ và quãng đường đôi khi cho ra kết quả vô lý
    • Nhìn vào lộ trình trong bài, có đoạn di chuyển ngược với hướng tàu đang đi
      Có lẽ lúc đó tàu sân bay đang chạy chậm
    • Đã chạy 7,2 km với pace 4:38, nhưng nhìn lộ trình lặp lại thì có vẻ con tàu đang đi theo hải trình vòng tròn
      Có thể đó là chủ đích để trì hoãn việc tiếp cận khu vực gần Lebanon
    • Việc tính calo dựa trên nhịp tim cũng gây ra lỗi tương tự
      Có trường hợp dùng một số loại thuốc khiến lượng calo tiêu hao mỗi ngày hiện lên cao bất thường
  • Với tàu sân bay, chỉ cần đứng ở độ cao 10 m so với bờ biển thì có thể nhìn thấy bằng mắt thường từ khoảng 28 dặm
    Có lẽ có thể quan sát được từ phần lớn bờ biển Địa Trung Hải
    • Tôi tự hỏi liệu có chính sách cho phép dùng Strava khi ở gần bờ, nhưng cấm trong các chiến dịch nhạy cảm hay không
      Hoặc cũng có thể vụ này chính là ví dụ cho kiểu hành vi rủi ro đó
    • Chỉ riêng hình dạng của lộ trình chạy cũng có thể suy ra hải trình và tốc độ
  • Nói ngoài lề một chút, tôi cũng thắc mắc liệu các ứng dụng thể dục này có tự hiệu chỉnh chuyển động của con tàu hay không
    Rất nhiều người chạy bộ trên tàu du lịch, nên dữ liệu có thể bị méo so với thực tế