Strona główna
Wykryto poważny błąd na stronie firmy zbierającej dane o lokalizacji telefonów komórkowych
Badacz z uniwersytetu Carnegie Mellon w USA wykrył groźny błąd na stronie amerykańskiej firmy LocationSmart zbierającej dane o lokalizacji telefonów komórkowych w czasie rzeczywistym. Pozwalał on na podejrzenie aktualnego miejsca pobytu milionów Amerykanów.
Doktorant Carnegie Mellon powiedział, że wykryty przez niego błąd pozwalał na ominięcie konieczności posiadania zgody osoby śledzonej (uzyskiwanej za pomocą wysłanego przez stronę kodu SMS) i lokalizowanie jej w czasie rzeczywistym na podstawie informacji przesyłanych przez operatora sieci komórkowej.
O jego odkryciu jako pierwszy poinformował na swoim blogu znany badacz cyberbezpieczeństwa Brian Krebs, który samodzielnie przetestował działanie błędu i potwierdził jego szkodliwość.
Firma LocationSmart, do której należy strona, zajmuje się pozyskiwaniem i agregowaniem danych lokalizacyjnych. Na stronie internetowej spółka reklamuje się zapewnieniem, że "bezpośrednio współpracuje" z operatorami sieci komórkowych, które pozwalają jej na pozyskiwanie danych lokalizacyjnych.
Zdaniem Xiao, możliwość tak prostego ominięcia konieczności posiadania zgody na śledzenie świadczy o tym, że firma LocationSmart nie dołożyła należytych starań na rzecz zapewnienia bezpieczeństwa swojej usługi.
Po wykryciu błędu, badacz zdecydował się zgłosić go firmie we współpracy z lokalną instytucją CERT oraz swoim uniwersytetem. Jak zauważył Xiao, błąd na stronie mógł narazić na niebezpieczeństwo nawet 200 mln osób w Stanach Zjednoczonych i Kanadzie. Jak zaznaczył, żadna ze śledzonych osób nie została powiadomiona o fakcie, że ich lokalizacja jest aktywnie nadzorowana przez strony trzecie.
Po ujawnieniu sprawy odniósł się do niej także amerykański senator z ramienia Partii Demokratycznej Ron Wyden, który wcześniej wielokrotnie wzywał operatorów sieci komórkowej do zaprzestania współdzielenia danych o lokalizacji użytkowników z innymi firmami.
"Ten wyciek danych pokazuje jedynie, jak nisko bezpieczeństwo Amerykanów cenią sobie firmy. Sprawa ta udowadnia jasno istnienie zagrożeń dla prywatności, ale też dla bezpieczeństwa osobistego i finansowego każdej rodziny w USA". Jak dodał, "ponieważ operatorzy sieci bardziej cenią sobie zyski finansowe niż bezpieczeństwo i prywatność Amerykanów, których dane przekazują zewnętrznym firmom, razem ze spółkami takimi jak LocationSmart pozwalają one niemal każdemu hakerowi dysponującymi podstawowymi umiejętnościami na śledzenie każdego obywatela USA, który posiada telefon komórkowy".
Senator Wyden ocenił, że zagrożenia płynące z działalności firm takich, jak LocationSmart, są obecnie "nieograniczone".
