Personal vid det brittiska militärens nervcentrum i Northwood har offentligt loggat sina löpturer på Strava, en del av ett bredare mönster där 519 entreprenörer, officerare, personal och familjemedlemmar vid några av Storbritanniens mest känsliga baser har loggat löpturer inom begränsade områden i appen sedan januari 2026. Denna omfattande dataexponering härrör från användare som delar sina fitnessaktiviteter med offentliga inställningar, vilket oavsiktligt kartlägger säkra platser. Omfattningen av problemet understryker ett betydande operativt säkerhetsbrist över flera anläggningar.
Vid den kritiska ubåtsbasen HMNB Clyde i Faslane, hem för Storbritanniens nukleära avskräckning, har 110 individer offentligt loggat löpturer sedan årsskiftet. En löprunda som loggats på Strava inom HMNB Clydes begränsade område avslöjade information som hjälpte till att identifiera den specifika atomubåten en tjänsteman var stationerad på, medan en annan tjänsteman vid basen publicerade bilder på krigsfartyg som anlöper den skotska hamnen på sitt Strava-konto. Dessa avslöjanden ger detaljerade insikter i dagliga operationer och personalrörelser vid en anläggning central för rikets säkerhet. Kombinationen av geolokaliseringsdata och visuella bevis skapar en sammansatt bild som skulle kunna utnyttjas av motståndare.
Utlandsbaser och personal har också exponerats genom Strava-spårning. Personal stationerad vid utlandsbaser, inklusive RAF Akrotiri på Cypern och Diego Garcia i Indiska oceanen, var identifierbara genom appen. Löpare vid en gemensam brittisk-amerikansk bas kallar skämtsamt sin ruta 'Security Breach' i Stravas offentliga data, vilket belyser en avslappnad inställning till säkerhetsprotokoll även på avlägsna platser. Denna internationella dimension utsträcker sårbarheten bortom Storbritanniens gränser och påverkar allierade operationer och delade anläggningar.
De personliga säkerhetsriskena är djupgående, eftersom personuppgifter om personal, inklusive hemadresser, identiteter på anhöriga och länkade sociala mediekonton, kan exponeras genom Strava-data. Denna information, i kombination med platsuppföljning, skapar en omfattande profil av individer som skulle kunna användas för riktade attacker eller manipulation. Familjemedlemmar och bekanta kan också bli kollaterala mål, vilket förstärker hotet bortom aktiv personal. Aggregeringen av sådan data över tid möjliggör mönsteranalys som avslöjar rutiner och sårbarheter.
Militär personal i alla rangordningar, från truppchefer och löjtnanter till underrättelseexperter, loggar data på Strava. Detta indikerar att säkerhetsbristen inte är begränsad till yngre personal utan genomsyrar befälskedjan, inklusive de med tillgång till klassificerad information. Inblandningen av underrättelseexperter är särskilt oroande, eftersom deras profiler oavsiktligt kan avslöja metoder eller tillhörigheter. Bredden på inblandade rangordningar tyder på ett systemfel i utbildning eller tillämpning avseende digitalt fotavtryck.
Säkerhetsexperter varnar för att detta har väckt oro för att fientliga aktörer kan samla underrättelser om känsliga platser och utnyttja personuppgifter för utpressning. En högre militär källa baserad vid det brittiska militärens högkvarter i Northwood beskrev problemet som en stor säkerhetsrisk som utsätter personal för potentiell utpressning och tvång, och som utgör värdefull underrättelse för motståndare. Potentialen för utpressning förstärks av den personliga karaktären på den exponerade datan, som skulle kunna användas för att pressa individer att avslöja hemligheter eller begå spioneri. Sådana scenarier representerar ett direkt hot mot operativ integritet och rikets säkerhet.
Denna incident inträffar i en kontext av pågående säkerhetshot mot brittiska militäranläggningar från utländsk underrättelsetjänst. Drönare, ombud och spioner misstänkta för att arbeta för motståndare fångas rutinmässigt när de testar gränserna för brittiska anläggningar. Förra månaden greps en iransk man och en rumänsk kvinna efter att ha försökt ta sig in på HMNB Clyde i Faslane, vilket visar på aktiv avsökning av säkra platser. Brittisk NATO-personal har varnats för försök från misstänkta ryska underrättelseofficerare att spionera på dem, vilket belyser ett ihållande och mångfacetterat hotklimat. Dessa incidenter visar att motståndare kontinuerligt söker sårbarheter att utnyttja.
Problemet utgör en stor säkerhetsrisk, utsätter personal för potentiell utpressning och tvång, och utgör 'värdefull underrättelse för fienden'.
Internationellt har den franska militären stött på ett liknande problem, där en soldat avslöjade positionen för ett offshore-hangarfartyg förra månaden genom att logga löpturer på Strava. Detta parallella fall tyder på att problemet inte är unikt för Storbritannien utan påverkar allierade styrkor globalt, vilket pekar på en gemensam utmaning i att balansera fitnessspårning med säkerhet. Återkomsten av sådana incidenter över olika militärer indikerar ett behov av samordnade bästa praxis och tekniska skyddsåtgärder. Delade lärdomar skulle kunna hjälpa till att mildra risker över NATO och andra partnerskap.
Historisk sett är detta inte första gången känslig information har exponerats genom Strava; 2018 avslöjade en värmekarta aktivitet vid Faslane och andra globala militäranläggningar. Det tidigare incidenten ledde till varningar och vissa policyjusteringar, men nuvarande data visar att sårbarheter kvarstår, vilket tyder på ofullständig implementering eller utvecklade appfunktioner som överträffar säkerhetsåtgärder. Upprepningen av liknande exponeringar över år pekar på ett cykliskt problem där tillfälliga lösningar inte adresserar rotorsaker. Denna historia understryker svårigheten att upprätthålla säkerhet i en era av allestädes närvarande digital spårning.
De strategiska konsekvenserna är betydande, eftersom medan platsen för brittiska baser inte är hemlig, skulle Strava-data kunna ge motståndare användbar underrättelse om militära operationer. Detaljer som patrullrutter, skiftmönster och personalkoncentrationer kan härledas från aggregerade fitnessloggar, vilket ger insikter i beredskap och rutiner. Denna operativa underrättelse skulle kunna informera planering för spioneri, sabotage eller cyberattacker, vilket gör styrkor mer förutsägbara och sårbara. Den kumulativa effekten av små datapunkter kan avslöja större strategiska bilder över tid.
Politiskt har den konservative parlamentsledamoten Ben Obese-Jecty, en före detta arméofficer, fördömt säkerhetsbristen. Han sa att den senaste säkerhetsbristen hos de brittiska väpnade styrkorna är förvånande med tanke på det nuvarande hotet från motståndare. Obese-Jecty noterade också att han slutade använda Strava när han blev parlamentsledamot och låste sin profil, och konstaterade att appen har funktioner för att hålla data privata. Hans kritik återspeglar bredare oro om ansvarighet och beredskap inom militäretablissemanget.
Viktiga okända faktorer kvarstår avseende vilka specifika åtgärder, om några, det brittiska försvarsministeriet eller militärledningen har vidtagit för att hantera Strava-säkerhetsbristen och förhindra framtida förekomster. Det är också oklart om några disciplinära åtgärder har vidtagits mot den militära personal som exponerat känslig information via Strava, eftersom inga offentliga meddelanden har gjorts. Bristen på transparens i dessa punkter lämnar öppna frågor om allvaret med vilket frågan behandlas internt.
En annan okänd faktor är i vilken utsträckning fientliga aktörer redan har tillgång till eller utnyttjat den exponerade Strava-datan för underrättelseinsamling eller utpressning. Likaså har det inte bedömts offentligt hur Strava-dataexponeringen jämförs med andra cybersäkerhets- eller operativa säkerhetssårbarheter inom de brittiska väpnade styrkorna, vilket gör det svårt att bedöma dess relativa allvarlighetsgrad. Dessa kunskapsluckor hindrar en full förståelse av incidentens påverkan och lämpligheten av responsåtgärder.
Dessutom förblir tidslinjen och processen för när militären blev medveten om Strava-problemet och varför det inte adresserades tidigare oklar. Förseningar i responsen skulle kunna indikera systemfel i övervakning eller rapporteringskanaler, eller kanske en underskattning av hotet. Att klargöra dessa aspekter skulle hjälpa till att utvärdera effektiviteten av nuvarande säkerhetsprotokoll och identifiera områden för förbättring för att förhindra liknande brister i framtiden.