תחקיר של המיזם החברתי הישראלי FakeReporter חושף כי פירצת אבטחה באפליקציית הכושר Strava הובילה לדליפה של פרטי מידע אישי של אנשי ביטחון וחיילים המשתמשים בה, לרבות שמם המלא, זהות בני משפחתם, מקום מגוריהם ויעדים בהם ביקרו בחו"ל.
בדומה לאפליקציות אחרות בתחום הכושר, סטרבה מאפשרת למשתמשיה לתעד את הפעילות הגופנית שלהם, בשילוב נתוני מיקום ומדדים כמו דופק לב ושריפת קלוריות. בשנת 2018 נחשף כי מפת החום של האפליקציה, שמציגה מסלולי ריצה או רכיבה פופולריים, מאפשרת לחשוף באקראי מיקומים של בסיסי צה"ל, מתקנים סודיים ומסלולי סיור של כוחות צה"ל בצפון. כעת, הפירצה החדשה מנצלת חולשות של הרכיב באפליקציה שמאפשר למשתמשים להתחרות בריצה באופן וירטואלי (לפי זמני סיום המסלול שלהם), אשר – בשילוב עם הפירצה הישנה – חושפת את זהותם של המשרתים בבסיסי צה"ל ובמתקניו.
לפי תחקיר פייק ריפורטר, נחשפו פרטיהם של לפחות 100 משתמשים שהתאמנו בשישה מתקנים ביטחוניים רגישים, ביניהם בסיס פלמחים ובסיסי מודיעין שונים. זהות התוקף טרם ידועה. מקור: כלכליסט (מאת: עומר כביר).
בתגובה לחשיפה פרסמה הרשות להגנת הפרטיות בטוויטר את התגובה הבאה -
בעקבות הפרסומים של @FakeReporter אודות פרצת אבטחה וחשיפת מידע אישי של משתמשים בישראל שהשתמשו באפליקציית Starva האמריקאית, אנו רואים בחומרה שימוש במידע אישי על אזרחי ישראל גם על ידי אפליקציות המופעלות על ידי חברות בינלאומיות, והנושא יבחן מול הגורמים הבינלאומיים הרלוונטיים.
— הרשות להגנת הפרטיות (@PrivacyGov) June 21, 2022
law.co.il קרא את התגובה פעמיים, שלוש וארבע כדי להבין אם הרשות להגנת פרטיות באמת רואה בחומרה שימוש במידע אישי באפליקציות של טיקטוק, טוויטר, פייסבוק, בוקינג, טריפ-אדבייסור, ניו-יורק טיימס, אינסטוש, אפל מפס, יוטיוב ועוד אלף ואחת אפליקציות המותקנות אצל כולנו בנייד, והחליט שכן. הם באמת רואים את זה בחומרה. מתבקשת הערה יבשה אחת בתגובה - אין איסור על כך בחוק הישראלי (הערה שניה לא מתבקשת ולכן לא נציין שאין דרך או סיבה רוחבית למנוע את זה).