一位安全研究人員說,一家收集蜂窩無線設備即時數據的加州公司存在一個網站缺陷,導致任何人都可能定位美國境內AT&T、Verizon、Sprint或T-Mobile手機,並精確到數百碼範圍內。
捲入此事的公司是Carlsbad的LocationSmart。LocationSmart運行一個鮮為人知的商業領域:為企業提供數據,例如跟蹤員工和向相關商店附近的客戶發電子優惠券。
在Load Stand在其網站上確認的客戶中,American Automobile Association、FedEx和保險公司Allstate在列。
New York Times本月早些時候報導稱,一家名為Securus Technologies的公司向一位前密蘇裡州治安官提供了移動客戶的位置數據。這位治安官被指控在沒有法院令情況下使用該數據跟蹤他人。Motherboard報告說,Securus伺服器被一名駭客攻破,並被盜走大多屬於執法人員的數據。
Securus可能從LoopStand間接獲得了它的位置數據。俄勒岡民主黨參議員Ron Wyden發言人Keith Chu說,Securus官員告訴Wyden辦公室,他們從一家名為3Cinterative的公司獲得數據。LocationSmart在其網站上將3Cinteractive列為客戶。
Wyden說,LocationSmart和Securus案例凸顯因為聯邦政府沒有對地理定位數據進行監管,美國人面臨「無限危險」。
他在一份聲明中說:「駭客可以利用這個網站知道你什麼時候在你的房子裡,這樣他們就知道什麼時候實施盜劫。一個掠奪者可以追蹤你孩子的手機,知道他們什麼時候單身一人。」
卡內基梅隆大學電腦科學系學生Robert Xiao告訴The Associated Press,在他發現軟體錯誤並通知LocationSmart的第二天,該公司就把這個有缺陷的網頁下線了。
這位博士研究人員說,這個缺陷「允許任何人,在世界任何地方,查找一部美國手機的位置。」
「我可以敲進任何10位數的電話號碼,」他補充說,「我可以找到任何人的位置。」
這個網頁是讓訪問者通過輸入手機號碼測試LocationSmart’s服務。在輸入號碼後,服務會打電話或發短信徵求同意,之後,它會顯示手機位置,一般在幾百碼以內。
但是Xiao發現了一個缺陷,使得他可以在15分鐘內繞過同意環節。他說:「找到它,沒有足夠技術知識的任何人都不用太花時間。」
LocationSmart自稱「全球最大定位服務公司」,並稱它從美國和加拿大的所有無線公司獲得位置資訊,覆蓋率達到95%。
AT&T和Sprint公司代表表示,他們不允許在沒有個人同意或法院令情況下共用位置資訊。Verizon發言人Rich Young說,公司已採取措施確保Securus不再要求公司無線客戶資訊,並正在審查公司與LocationSmart的關係。
Obama政府聯邦通信委員會的前高級助手Gigi Sohn說,自去年以來,使用者位置數據一直處於高風險狀態。去年,國會廢除了FCC隱私規則,即禁止移動無線運營商在沒有客戶明確的「opt-in」同意情況下分享或出售位置數據。
她說:「最起碼,消費者應該能夠選擇LocationSmart之類公司是否有權訪問這些數據。」
