vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Купить или украсть: как дыра в демо-версии могла привести к утечке данных о сотовых абонентах США

Дата публикации: 22.05.2018
Количество просмотров: 844
Автор:

Воспользовавшись демо-версией на сайте LocationSmart, злоумышленник мог узнать местоположение абонента крупных американских и канадских операторов сотовой связи. Впрочем, при отсутствии хакерских талантов такую услугу можно просто купить.

Интерес к LocationSmart возник после того, как в The New York Times появилась новость о том, что другой аналогичный поставщик услуг по отслеживанию местоположения сотового телефона Securus Technologies передавал в офис шерифа в округе Миссисипи (штат Миссури) данные о местоположении клиентов практически любого крупного оператора мобильной сети. Оказалось, что эта компания работает, как посредник, и получает свои данные от той самой LocationSmart. Более того, указанная схема в США считается вполне законной, так как операторам запрещено передавать данные правительству, но властям не запрещается покупать личную информацию пользователей у посредников, что они с успехом и делали.

На сайте LocationSmart сообщается, что компания контролирует данные по 120 миллионам сотовых вышек и 1,5 миллиарда точек доступа Wi-Fi, с помощью которых может определить местонахождение конкретного абонента. В зону "ответственности" попадает 95% всех американских пользователей мобильных услуг или 400 миллионов устройств. Ранее на сайте был размещен список партнеров, у которых LocationSmart покупает данные (AT&T, Verizon, T-Mobile, Sprint, US Cellular, Virgin, Boost and MetroPCS), но сейчас страница доступна через кэш Google. В компании утверждают, что ее деятельность абсолютно законна.

Интерфейс демо-версии
Интерфейс демо-версии

На сайте LocationSmart каждый желающий мог воспользоваться демо-версией, которая позволяла потенциальным клиентам проверить работоспособность системы. Для того чтобы понять, как это работает, пользователю достаточно было ввести в форму имя, адрес электронной почты и номер телефона. После этого указанному абоненту приходило сообщение с предложением разрешить определение положения относительно ближайшей базовой станции. После подтверждения потенциальный клиент получал сведения о приблизительной долготе и широте с нанесением координат на карту Google Street View. Также сервис потенциально собирает и хранит множество технических данных о конечном мобильном устройстве, например, он определяет точность, скорость, высоту, точку доступа Wi-Fi или информацию о IP-адресе.

Все бы ничего, но до недавнего времени у любого подкованного гражданина была возможность бесплатно и анонимно получить данные о нахождении другого абонента. Об этом сообщил исследователь Robert Xiao из Human-Computer Interaction Institute:

"Я наткнулся на это почти случайно, и это было не слишком сложно. Это то, что можно обнаружить с минимальными усилиями. И суть в том, что я могу отслеживать мобильный телефон большинства людей без их согласия".

На своем сайте Роберт опубликовал механизм взлома, а ресурсу Krebsonsecurity Брайана Кребса передал информацию о своих изысканиях. Оказалось, что он, а после и Krebsonsecurity, воспользовавшись уязвимостью, без проблем получили данные о местонахождении нескольких человек в США и Канаде. 

Об этом исследователь также поставил в известность и представителей LocationSmart, после чего демо-версию отключили, а на сайте компании появилось сообщение, что данная проблема за все время существования сервиса не привела к утечке данных.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/101369/kupit-ili-ukrast-kak-dyira-v-demo-versii-mogla-privesti-k-utechke-dannyih-o-sotovyih-abonentah-ssha.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться