De CorrespondentとBellingcatの調査では、フィットネスアクティビティのデータを2014年までさかのぼることができた。また、機密性の高い政府所有地(米国家安全保障局やホワイトハウス、キューバのグアンタナモ湾収容キャンプを含む)で運動をしていると考えられる6400人以上のユーザーや外国の軍事基地で働く職員の身元を特定することができたという。
調査では、外国諜報機関や核貯蔵施設、刑務所の職員の名前も見つかった。
米ZDNetはDe Correspondentよりデータの一部の提供を受け、これを検証した。
ユーザーが自宅を出てすぐにフィットネストラッキングを開始または停止した場合、そのユーザーの住んでいる場所は容易に特定された。
同調査では、APIを不正に操作して非公開設定のプロフィールのフィットネストラッキングデータを抽出させることも可能だとしている。
Polarはこの調査結果が報じられる直前に、マップをオフラインにした。
同社は、漏えいやシステムのセキュリティ侵害は起きていないと主張している。
同社の最高戦略責任者であるMarco Suvilaakso氏は声明で次のように述べた。「現在、ユーザーの大半はプロフィールとセッションデータをデフォルトの非公開設定にしている」「トレーニングセッションとGPSによる位置情報を共有するオプトインはユーザーの選択と責任に基づくものだが、当社は機密性の高い可能性のある場所が公共のデータ上に表示されていることは認識しており、一時的に『Explore API』を停止することにした」
このようにデータが露出したこと、特に一部の非公開プロフィールの自宅住所が暴露されたことはGDPR違反に当たらないのかという米ZDNetの質問に対しては、「当社はGDPRを遵守している」との回答があった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。