Datalækningsfirma for telefoner:Ingen registrering af misbrug af steddata

I denne 6. juni, 2017, fil foto, en mand tjekker sin telefon i en gyde i downtown Chicago. En sikkerhedsforsker siger, at en webstedsfejl i et amerikansk firma kunne have givet enhver mulighed for at lokalisere næsten enhver mobiltelefon i USA. Forfaldet ved LocationSmart, et firma, der indsamler data i realtid om trådløse mobilenheder, er den seneste til at fremhæve, hvor lidt beskyttelse forbrugerne har mod handel med data om deres placering. (AP Photo/G-Jun Yam, Fil)

Et selskab i Californien bekræftede, at en fejl på sit websted tillod udenforstående at lokalisere mobiltelefoners placering i USA uden tilladelse.

Men LocationSmart, som indsamler data i realtid på trådløse mobilenheder, siger, at det ikke har tegn på, at nogen udnyttede sårbarheden før den 16. maj, da en sikkerhedsforsker ved Carnegie Mellon opdagede det.

Brenda Schafer, en LocationSmart vicepræsident, sagde via e -mail fredag, at virksomheden stadig søger at kontrollere, at der ikke var adgang til lokalitetsdata uden individuelle abonnenters samtykke. Hun svarede ikke på spørgsmål om LocationSmarts forretningspraksis eller hvor længe fejlen havde eksisteret.

Fortrolighedsforkæmpere siger, at sagen er den seneste til at understrege, hvor let trådløse luftfartsselskaber kan dele eller sælge forbrugernes geografiske oplysninger uden deres samtykke. LocationSmart -fejlen blev først rapporteret af den uafhængige journalist Brian Krebs.

LocationSmart opererer i en lidt kendt forretningssektor, der leverer data til virksomheder til f.eks. Sporing af medarbejdere og sms-e-kuponer til kunder i nærheden af relevante butikker. Blandt de kunder, LocationSmart identificerer på sit websted, er American Automobile Association, FedEx og forsikringsselskabet Allstate.

New York Times rapporterede tidligere på måneden, at et firma kaldet Securus Technologies leverede lokationsdata om mobilkunder til en tidligere sheriff i Missouri, anklaget for at have brugt dataene til at spore folk uden en retskendelse. På onsdag, Bundkort rapporterede, at Securus 'servere var blevet overtrådt af en hacker, der stjal brugerdata, der for det meste tilhørte retshåndhævende embedsmænd.

Securus kan have indhentet sine lokationsdata indirekte fra LocationSmart. Securus -embedsmænd fortalte kontoret til senator Ron Wyden, en Oregon -demokrat, at de indhentede dataene fra et firma kaldet 3Cinterative, sagde Wyden -talsmand Keith Chu. LocationSmart viser 3Cinteractive blandt sine kunder på sit websted.

Wyden sagde, at LocationSmart- og Securus -sagerne understreger de "ubegrænsede farer", amerikanerne står over for på grund af fraværet af føderal regulering af geolokationsdata.

"En hacker kunne have brugt dette websted til at vide, hvornår du var i dit hus, så de ville vide, hvornår de skulle stjæle det. En rovdyr kunne have sporet dit barns mobiltelefon for at vide, hvornår de var alene, "sagde han i en erklæring.

En talskvinde for Federal Communications Commission sagde, at LocationSmart -sagen var blevet henvist til agenturets håndhævelsesbureau til efterforskning.

LocationSmart tog den mangelfulde webside offline torsdag, en dag efter Carnegie Mellon University computer science student Robert Xiao opdagede softwarebuggen og underrettede virksomheden, Det fortalte Xiao til Associated Press.

Fejlen "tillod nogen, overalt i verden, at finde placeringen af en amerikansk mobiltelefon, "sagde Xiao, en forsker. "Jeg kunne slå et hvilket som helst 10-cifret telefonnummer ind, " han tilføjede, "og jeg kunne få alles placering."

Websiden var designet til at lade besøgende teste LocationSmarts service ved at indtaste deres mobiltelefonnummer. Tjenesten ville derefter ringe til deres telefon eller sende en sms for at opnå samtykke, hvorefter den ville vise telefonens placering - generelt inden for flere hundrede yards.

Men Xiao fandt en fejl, der tillod ham at omgå samtykke på bare 15 minutter. "Det ville ikke tage nogen med tilstrækkelig teknisk viden lang tid at finde dette, "sagde han. Han skrev et script til at udnytte det.

Xiaos forskning viste, at LocationSmart havde tilbudt tjenesten siden mindst januar 2017.

LocationSmart fremhæver sig selv som "verdens største location-as-service-virksomhed." Den siger, at den indhenter placeringsoplysninger fra alle større amerikanske og canadiske trådløse virksomheder, med 95 procent dækning.

Verizon -talsmand Rich Young sagde, at virksomheden har taget skridt til at sikre, at Securus ikke længere kan anmode om oplysninger om virksomhedens trådløse kunder, og at det var ved at gennemgå sit forhold til LocationSmart. T-Mobile sagde ligeledes, at det har "løst problemer, der blev identificeret med Securus og LocationSmart."

Repræsentanter for AT&T og Sprint sagde, at de ikke tillader deling af lokalitetsoplysninger uden individuelt samtykke eller en lovlig ordre som f.eks. En kendelse.

Gigi Sohn, en tidligere tophjælper i FCC under Obama -administrationen, sagde brugerplaceringsdata har været i høj risiko siden sidste år. Det var da kongressen ophævede FCC's fortrolighedsregler, der forhindrer mobile trådløse operatører i at dele eller sælge det uden kunders udtrykkelige "opt-in" samtykke.

"På et minimum, forbrugere skal kunne vælge, om en virksomhed som LocationSmart overhovedet skal have adgang til disse data, " hun sagde.

Sidste artikelSelvkørende køretøjsservice i Frisco, Texas, at starte i juli

Næste artikelJurassic Park dinosaureksperter næste store ting:hologrammer