Баг в малоизвестном сервисе позволял следить за пользователями телефонов любого оператора США

    image

    Утечками информации в наше время никого не удивишь. Но бывают весьма необычные ситуации, которые вызывают удивление самим фактом своего существования. В числе таких примеров — баг в сервисе LocationSmart, позволявший отслеживать в режиме реального времени пользователей мобильных телефонов любых операторов США.

    Сам сервис предназначен для отслеживания телефонов таких операторов, как AT&T, Sprint, T-Mobile, или Verizon. Точность отслеживания — несколько десятков метров. Несмотря на то, что сам сервис заявляет о законности своей работы, его демо-версия позволяет следить за клиентами операторов США.

    Вообще говоря, для того, чтобы начать работу, необходима регистрация, сервис не дает доступ к своим функциям без верификации пользователя. Для начала требуется ввести имя, адрес почты и телефонный номер в веб-форму. Затем сервис запрашивает доступ к местоположению указанного телефона для ближайшей вышки связи. Как оказалось, запрос можно модифицировать и получить полный доступ к сервису и его возможностям.

    Об этом первым сообщил Брайан Кребс, известный специалист по информационной безопасности. Проблема была в том, что разработчики сервиса не включили базовую проверку личности пользователя, вводящего данные. Таким образом, практически любой человек с начальными знаниями принципов работы веб-сайтов мог получить доступ к не самым безобидным возможностям LocationSmart. Причем не нужен был даже пароль или другие авторизационные данные.

    «Я просто опешил, когда увидел, насколько легко можно добраться к возможностям LocationSmart», — заявил другой специалист по инфобезу. «Это то, к чему может получить доступ практически любой человек, причем с минимальными усилиями. Затем пользователю дается возможность отслеживать местоположение людей, которые подключены к вышкам сотовой связи без их на то согласия».

    Как оказалось, сервис действительно дает запрос на подключение к ближайшей вышке оператора мобильной связи. После этого можно ввести номера телефонов любых людей, и смотреть, куда они идут или едут. Проверяя координаты с определенным интервалом, все это можно вывести на Google Maps для собственного удобства и дальше следить за перемещениями кого-либо без всяких проблем.

    О проблеме специалисты по информационной безопасности начали писать тогда, когда демо-версия сервиса была отключена. Работа сервиса оказалась удивительно точной — определение местоположения человека по номеру телефона его мобильного устройства было проверено, все оказалось верным. Специалисты по кибербезопасности позвонили пяти своим знакомым, спросив, где они находятся в настоящий момент, и с их разрешения определили местоположение при помощи LocationSmart.

    Один из специалистов, исследовавших проблему, опубликовал детальную информацию о проверке работы сервиса.

    Разработчик LocationSmart Марио Проиетти рассказал, что у него и в мыслях не было использовать данные людей с какой-либо незаконной целью. «Мы сделали информацию доступной согласно закону. Сервис основан на обычных технологиях, ничего нелегального. Мы уважаем права людей и сейчас рассматриваем все факты, обнаруженные экспертами», — говорит он.

    Сервис, о котором идет речь, предоставляет услуги корпорациям. В первую очередь, он предназначен для мониторинга работы сотрудников предприятий. Причем проблема не с самим сервисом, а с его демо-версией, которая использовалась для демонстрации работы LocationSmart. Сейчас, по словам разработчиков, проблема уже ликвидирована. Сейчас идет проверка обновленной версии, с тем, чтобы проблема больше не повторялась.

    Кребс — известный в среде информационной безопасности эксперт. В частности, это он помог раскрыть личность оператора ботнета Mirai в прошлом году. Сам Кребс был одним из первых, кто пострадал из-за работы ботнета. После ареста оператор сообщил, что работал не сам по себе, а выполнял заказы сторонних компаний. Киберпреступник получил условный срок, что удивило многих. Кребс стал еще более известным, чем ранее. Возможно, кстати, что он и не занимался бы расследованием, если бы операторы ботнета не решили бы «наказать» эксперта за его достижения в отслеживании злоумышленников.
    • +15
    • 18,4k
    • 7
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 7
    • 0
      Мне в равно как этот сервис выдает инфорамацию о местоположениях телефонов. Но как он сам получает данные обо всех подключенных телефонах к базовым станциям?
      • +2
        ему информацию передают сами операторы
        • 0
          Я как раз так и про это. С какой стати?!
          • +2
            Так сейчас в любом договоре есть квадратик «разрешаю оператору передавать и обрабатывать данные третьим лицам». Даже если вы запретите, то в базе «согласие», как типовое, равно всё будет и всем «регуляторам» пофиг. Это как с базами «персональных данных» которые «строго охраняются» законами и роскомнадзорами, а на самом деле — продаются и покупаются. Или тупо парсятся.
      • +1
        Можно сколько угодно заморачиваться над минимизацией своего цифрового отпечатка, а тут такое. Хочется всех сжечь.
        • 0
          Так у заботящихся проблем нет — они и так не пользуются телефонами и живут в дали от цивилизации. Действительно заботящиеся.
        • +1
          locationsmart.com из России не открывается :( как же это достало…

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое