'StravaLeaks': Le Monde melacak lokasi kapal induk Prancis secara real-time melalui aplikasi kebugaran

 (lemonde.fr)
2 poin oleh GN⁺ 2026-03-21 | 1 komentar | Bagikan ke WhatsApp
  • Seorang perwira Angkatan Laut Prancis mengunggah catatan olahraganya ke aplikasi kebugaran Strava dengan profil publik, sehingga posisi akurat kapal induk Charles de Gaulle yang sedang beroperasi di Mediterania terekspos secara real-time
  • Le Monde memverifikasi silang data tersebut dengan citra satelit dan mengonfirmasi posisi kapal induk di barat laut Siprus, sekitar 100 km dari pesisir Turki
  • Di tengah situasi perang di Timur Tengah, kelompok yang berafiliasi dengan Iran sebelumnya telah menyerang dua pangkalan militer Prancis, sehingga publikasi data lokasi seperti ini menjadi ancaman keamanan serius
  • Masalah penggunaan Strava oleh pengawal presiden pada musim gugur 2024, serta kebocoran jadwal patroli kapal selam nuklir pada Januari 2025, menunjukkan cacat keamanan yang sama terus berulang
  • Staf Umum militer Prancis mengakui ini melanggar pedoman yang berlaku, tetapi tanpa perbaikan sistem keamanan digital yang bersifat struktural, masalah yang sama kemungkinan akan terulang pada kapal induk generasi berikutnya

Ringkasan insiden: lokasi kapal induk terekspos lewat Strava

  • Pada 13 Maret pukul 10.35 pagi, seorang perwira Angkatan Laut Prancis bernama samaran "Arthur" mengunggah data lari yang direkam smartwatch saat berlari sekitar 7 km selama 35 menit di dek kapal
  • Karena profil Strava-nya disetel "public", siapa pun dapat mengetahui lokasi akurat kapal induk tersebut hampir secara real-time lewat catatan aktivitas itu
  • Melalui data itu, Le Monde mengonfirmasi bahwa Charles de Gaulle berada di barat laut Siprus, di perairan Mediterania sekitar 100 km dari pesisir Turki
  • Gugus tempur laut Prancis terdiri dari kapal induk tersebut beserta setidaknya 3 fregat dan 1 kapal pendukung

Latar belakang: penempatan ke Timur Tengah dan risiko keamanan

  • Pada 3 Maret, Presiden Macron memerintahkan penempatan ke Timur Tengah, keputusan yang diambil tepat setelah serangan Israel dan Amerika Serikat terhadap Iran
  • Charles de Gaulle semula dijadwalkan beroperasi di Baltik hingga Mei sebagai bagian dari latihan NATO, tetapi kemudian dialihkan secara mendadak
  • Pada 6 Maret, otoritas Prancis secara resmi mengumumkan kapal itu melintasi Selat Gibraltar
  • Sedikitnya 2 pangkalan militer Prancis di kawasan Timur Tengah telah diserang oleh kelompok yang berafiliasi dengan Iran, dan serangan drone di Irak utara menewaskan 1 tentara Prancis dan melukai 6 lainnya
  • Dalam situasi seperti ini, mengunggah data lokasi presisi kapal induk ke situs web publik merupakan bentuk kelalaian yang sangat berbahaya

Verifikasi silang data: konfirmasi lewat citra satelit

  • Le Monde melacak pergerakan Charles de Gaulle melalui data Strava milik Arthur
    • 14 Februari: catatan olahraga di dekat pesisir Semenanjung Cotentin di Prancis
    • 26~27 Februari: saat kapal induk berlabuh di Malmö, Swedia, Arthur mencatat aktivitas darat di Kopenhagen, Denmark
    • 13 Maret: aktivitas di Mediterania barat laut Siprus
  • Dalam citra satelit yang diambil sekitar 1 jam setelah Arthur berlari, siluet kapal induk sepanjang 262 meter terlihat jelas
  • Rute larinya berbentuk lingkaran di atas kapal yang sedang bergerak, dengan posisi sekitar 6 km dari titik pengambilan citra satelit
    • Ada dua kemungkinan: Arthur berlari di atas kapal induk lalu kapal bergerak, atau ia naik salah satu kapal pengawal

Temuan tambahan: banyak profil Strava terekspos

  • Selain Arthur, setidaknya 1 orang lainnya dengan profil Strava publik juga mengunggah catatan olahraga yang memuat informasi lokasi dari kapal yang sedang menjalankan operasi
  • Beberapa profil publik bahkan memuat foto dek kapal, foto personel militer lain, hingga foto peralatan kebugaran yang terpasang di dalam kapal

Respons Staf Umum militer Prancis

  • Staf Umum militer Prancis menyatakan bahwa tindakan mengunggah rute lari ke Strava secara publik "tidak mematuhi pedoman yang berlaku"
  • Mereka juga menyebut para pelaut "secara rutin menerima penjelasan mengenai pedoman terkait"
  • Mereka menegaskan bahwa "digital hygiene" termasuk dalam semua prasyarat sebelum penugasan
  • Jawaban resminya menyebut bahwa "langkah yang sesuai akan diambil oleh komando"

Kebocoran keamanan StravaLeaks sebelumnya

  • Pada musim gugur 2024, laporan "StravaLeaks" dari Le Monde mengungkap celah keamanan akibat penggunaan Strava oleh pengawal presiden Prancis, Amerika Serikat, dan Rusia
    • Identitas pengawal dan keluarganya dapat diketahui, pergerakan dapat dilacak, bahkan muncul kemungkinan memprediksi rute presiden lebih awal
  • Pada Januari 2025, awak kapal selam nuklir peluncur rudal balistik (SSBN) Angkatan Laut Prancis juga membocorkan informasi jadwal patroli kapal selam melalui Strava
    • Saat itu Angkatan Laut menjawab bahwa kejadian tersebut merupakan "kecerobohan sebagian personel" dan bukan pelanggaran yang memengaruhi aktivitas pangkalan operasi Ile Longue

Kapal induk berikutnya dan tugas yang masih tersisa

  • Kapal induk Prancis generasi berikutnya, France Libre ("Prancis Bebas"), dijadwalkan menggantikan Charles de Gaulle sekitar 2038
  • Kapal ini dapat membawa hingga 40 pesawat, dilengkapi 3 pelontar pesawat, dan peralatan drone
  • Presiden Macron mengatakan pembangunan kapal ini akan melibatkan "talenta terbaik negara, keahlian paling langka, dan panggilan tugas paling menuntut"
  • Ke depan, masih menjadi persoalan yang belum terselesaikan apakah para pelaut akan terus membagikan catatan olahraga di akun publik atau beralih ke mode privat

Bacaan terkait

1 komentar

 
GN⁺ 2026-03-21
Komentar Hacker News
  • Sekitar 3 tahun lalu, seorang mantan komandan kapal selam Rusia yang terlibat dalam serangan rudal yang menewaskan 23 warga sipil Ukraina dilaporkan tewas
    Ada laporan bahwa pergerakannya tampaknya dilacak melalui Strava
    Artikel terkait: laporan CNN, contoh investigasi GIJN yang menggunakan Strava
  • Di militer, masalah kebocoran informasi lokasi seperti ini umum terjadi
    Sulit untuk sepenuhnya melarang prajurit menggunakan ponsel dan internet, dan kebanyakan berasal dari kepolosan serta keinginan menghindari ketidaknyamanan
    Hal seperti ini masih terus terjadi di Ukraina
    • 15 tahun lalu brigade kami sedang latihan, dan pasukan lawan (OPFOR) menggunakan Tinder untuk menemukan lokasi markas lewat triangulasi
      Mereka memakai informasi lokasi Tinder dalam satuan 1 mil untuk melakukan simulasi penembakan artileri, dan komandan brigade sangat tidak senang
    • Dulu ada fitness tracker yang menampilkan lokasi tanpa nama pengguna
      Muncul jalur-jalur berbentuk persegi di peta Irak, yang ternyata adalah jejak personel militer AS jogging di dalam pangkalan
      Itu bukan informasi rahasia, tetapi menjadi contoh betapa mudahnya data lokasi bocor
    • Kalau atasan pun tidak benar-benar memakai aplikasi komunikasi aman seperti Signal dengan benar, rasanya sulit menyalahkan para prajurit
    • Bahkan jika berbagi lokasi langsung diblokir, pengumpulan informasi lewat data broker bisa membuat akses internet itu sendiri berbahaya
    • Selama dua tahun pertama perang, kebanyakan prajurit yang melanggar aturan seperti ini tewas atau terluka
      Belakangan ini Kementerian Pertahanan Rusia menjatuhkan hukuman keras kepada prajurit yang memakai Telegram atau jaringan komunikasi Ukraina di dekat garis depan
  • Ada pertanyaan apakah posisi kapal induk memang harus dirahasiakan
    Rasanya sulit menyembunyikannya dari satelit
    • Jika negara lawan melacak aktivitas akun online milik personel militer lalu menggabungkan informasi tentang pangkat, unit, dan spesialisasi mereka, mereka bisa mengetahui lebih dari sekadar lokasi
      Bahkan tanpa satelit pun mereka dapat memperoleh cukup banyak informasi
    • Menurut tulisan Naval Gazing, kerahasiaan posisi kapal induk hanyalah ‘satu lapisan survivabilitas
      Ini sebaiknya dipandang sebagai salah satu dari banyak sarana pertahanan, bukan penyamaran sempurna
    • Kapal induk berukuran 17.000㎡, setara tinggi gedung 25 lantai
      Itu bukan struktur yang bisa disembunyikan; peran penyamaran adalah milik kapal selam
    • Satelit intelijen tidak memberikan posisi real-time, melainkan lokasi beberapa jam sebelumnya
      Sebaliknya, data GPS real-time jauh lebih menguntungkan untuk pemanduan rudal
    • Jika akun Strava dikaitkan ke awak tertentu, ada risiko rute pergerakan darat orang itu juga bisa dilacak
  • AS juga pernah mengalami kasus lokasi pangkalan rahasia terekspos lewat Strava
    (artikel The Guardian)
    Saya penasaran apakah kapal induk memakai internet satelit, atau hanya sinkron saat dekat pantai
    Jika yang pertama, akses aplikasi harus dibatasi dengan model whitelist
  • Mantan agen CIA Sarah Adams membahas masalah ini dalam podcast Your Phone Isn’t Safe Right Now
    Ia memperkenalkan 100 cara mengurangi jejak digital saat bepergian, dan menyebut aplikasi fitness serta aplikasi kencan sebagai ancaman terbesar
  • Saya rasa tidak ada negara yang tidak bisa mendeteksi kapal induk di Laut Tengah
    Itu bukan kapal stealth
    • Mungkin benar di Laut Tengah, tetapi di samudra luas pendeteksian jauh lebih sulit
      Karena satelit sulit memantau semua wilayah laut secara real-time
    • Seperti pada kasus hilangnya MH370, bahkan pesawat besar pun sulit ditemukan
      Mendeteksi kapal di lautan sama sekali bukan hal sederhana
    • Akan jauh lebih mengejutkan kalau kapal selam ditemukan lewat Strava
    • Mengetahui lokasi lewat API publik dan memakai aset satelit milik negara adalah dua hal yang sama sekali berbeda
      Kebanyakan negara tidak memiliki satelit pengintai
    • Belakangan, jaringan satelit swasta seperti Planet Labs memungkinkan tingkat pelacakan tertentu, tetapi tetap ada batasnya
  • Seperti ungkapan “Loose lips sink ships”, penggunaan ponsel yang ceroboh juga bisa menenggelamkan kapal
    • Kemungkinan Strava berfungsi melalui titik akses internet di kapal
      Departemen TI angkatan laut Prancis seharusnya mengelola aplikasi berisiko lewat kebijakan pemblokiran
    • Ponsel pribadi bisa berisi perangkat lunak dari pihak mana saja, dan hanya dengan koneksi internet pun sudah ada risiko pengumpulan data
      Situasi seperti ini menunjukkan kurangnya kesadaran keamanan di militer
  • Kapal induk Charles de Gaulle memiliki kecepatan jelajah 27 knot, sehingga perhitungan pace bagi orang yang berlari jadi benar-benar kacau
    Statistik Strava bisa sangat terdistorsi
    • Warga sipil juga kadang berlari di dek kapal pesiar, dan data kecepatan serta jaraknya jadi aneh
    • Dari rute di artikel, ada bagian yang bergerak berlawanan dengan arah kapal
      Mungkin kapal induk saat itu sedang berlayar pelan
    • Larinya 7,2 km dengan pace 4:38, dan karena rutenya berulang tampaknya kapal sedang menjalani jalur berputar
      Mungkin ada niat untuk memperlambat pendekatan ke dekat Lebanon
    • Perhitungan kalori berbasis detak jantung juga menimbulkan kesalahan serupa
      Ada kasus di mana obat tertentu membuat kalori harian yang terbakar tampak sangat tinggi
  • Jika kapal induk berada dekat pantai dan tingginya 10 m, kapal itu bisa terlihat dengan mata telanjang dari jarak sekitar 28 mil
    Dari sebagian besar garis pantai Laut Tengah kemungkinan bisa diamati
    • Saya penasaran apakah ada kebijakan bahwa penggunaan Strava diizinkan dekat pantai, tetapi dilarang saat operasi sensitif
      Atau mungkin kasus ini adalah contoh perilaku berisiko seperti itu
    • Hanya dari bentuk rute lari saja, arah pelayaran dan kecepatan bisa diperkirakan
  • Sebagai tambahan, saya penasaran apakah aplikasi olahraga seperti ini mengoreksi pergerakan kapal
    Banyak orang juga jogging di kapal pesiar, jadi kemungkinan datanya bisa terdistorsi dibanding kondisi sebenarnya