In questo 6 giugno, 2017, foto d'archivio, un uomo controlla il suo telefono in un vicolo nel centro di Chicago. Un ricercatore di sicurezza afferma che un difetto del sito Web di un'azienda statunitense avrebbe potuto consentire a chiunque di individuare la posizione di quasi tutti i cellulari negli Stati Uniti. Il lasso di tempo a LocationSmart, un'azienda che raccoglie dati in tempo reale su dispositivi wireless cellulari, è l'ultimo a evidenziare la scarsa protezione che i consumatori hanno dal traffico di dati sulla loro posizione. (Foto AP/G-Jun Yam, File)
Un'azienda californiana ha confermato che una falla nel suo sito Web ha consentito agli estranei di individuare la posizione dei telefoni cellulari negli Stati Uniti senza autorizzazione.
Ma LocationSmart, che raccoglie dati in tempo reale su dispositivi wireless cellulari, afferma di non avere prove che qualcuno abbia sfruttato la vulnerabilità prima del 16 maggio, quando un ricercatore di sicurezza alla Carnegie Mellon l'ha scoperto.
Brenda Schafer, un vicepresidente di LocationSmart, ha detto via e-mail venerdì che la società sta ancora cercando di verificare che non sia stato effettuato l'accesso ai dati sulla posizione senza il consenso dei singoli abbonati. Non ha risposto alle domande sulle pratiche commerciali di LocationSmart o da quanto tempo esisteva il difetto.
I sostenitori della privacy affermano che il caso è l'ultimo a sottolineare la facilità con cui gli operatori wireless possono condividere o vendere le informazioni di geolocalizzazione dei consumatori senza il loro consenso. Il difetto di LocationSmart è stato segnalato per la prima volta dal giornalista indipendente Brian Krebs.
LocationSmart opera in un settore commerciale poco conosciuto che fornisce dati alle aziende per usi come il monitoraggio dei dipendenti e l'invio di e-coupon SMS ai clienti vicino ai negozi pertinenti. Tra i clienti che LocationSmart identifica sul suo sito web ci sono l'American Automobile Association, FedEx e la compagnia assicurativa Allstate.
Il New York Times ha riferito all'inizio di questo mese che un'azienda chiamata Securus Technologies ha fornito dati sulla posizione dei clienti mobili a un ex sceriffo del Missouri accusato di utilizzare i dati per tracciare le persone senza un ordine del tribunale. Di mercoledì, Motherboard ha riferito che i server di Securus sono stati violati da un hacker che ha rubato i dati degli utenti che appartenevano principalmente alle forze dell'ordine.
Securus potrebbe aver ottenuto i propri dati sulla posizione indirettamente da LocationSmart. I funzionari di Securus hanno detto all'ufficio del senatore Ron Wyden, un democratico dell'Oregon, che hanno ottenuto i dati da una società chiamata 3Cinterative, ha detto il portavoce del Wyden Keith Chu. LocationSmart elenca 3Cinteractive tra i suoi clienti sul suo sito web.
Wyden ha affermato che i casi LocationSmart e Securus sottolineano i "pericoli illimitati" che gli americani devono affrontare a causa dell'assenza di una regolamentazione federale sui dati di geolocalizzazione.
"Un hacker avrebbe potuto usare questo sito per sapere quando eri in casa tua in modo da sapere quando derubarla. Un predatore avrebbe potuto rintracciare il cellulare di tuo figlio per sapere quando erano soli, ", ha detto in una nota.
Una portavoce della Federal Communications Commission ha affermato che il caso LocationSmart è stato deferito all'ufficio delle forze dell'ordine dell'agenzia per le indagini.
LocationSmart ha messo offline la pagina web difettosa giovedì, un giorno dopo che lo studente di informatica della Carnegie Mellon University Robert Xiao ha scoperto il bug del software e ha informato l'azienda, Xiao ha detto all'Associated Press.
Il bug "ha permesso a chiunque, ovunque nel mondo, per cercare la posizione di un cellulare americano, " disse Xiao, un dottorando di ricerca. "Potrei digitare qualsiasi numero di telefono di 10 cifre, " Ha aggiunto, "e potrei ottenere la posizione di chiunque."
La pagina web è stata progettata per consentire ai visitatori di provare il servizio di LocationSmart inserendo il proprio numero di cellulare. Il servizio fa squillare il loro telefono o invia un messaggio di testo per ottenere il consenso, dopo di che avrebbe visualizzato la posizione del telefono, generalmente entro diverse centinaia di metri.
Ma Xiao ha trovato un difetto che gli ha permesso di aggirare il consenso in soli 15 minuti. "Non ci vorrebbe molto tempo a nessuno con conoscenze tecniche sufficienti per trovarlo, " ha detto. Ha scritto uno script per sfruttarlo.
La ricerca di Xiao ha indicato che LocationSmart offriva il servizio almeno da gennaio 2017.
LocationSmart si autodefinisce "la più grande azienda di location-as-service al mondo". Dice che ottiene informazioni sulla posizione da tutte le principali società wireless statunitensi e canadesi, con una copertura del 95%.
Il portavoce di Verizon Rich Young ha affermato che la società ha adottato misure per garantire che Securus non possa più richiedere informazioni sui clienti wireless dell'azienda e che sta rivedendo la sua relazione con LocationSmart. Allo stesso modo, T-Mobile ha affermato di aver "risolto problemi identificati con Securus e LocationSmart".
I rappresentanti di AT&T e Sprint hanno affermato di non consentire la condivisione delle informazioni sulla posizione senza il consenso individuale o un ordine legale come un mandato.
Gigi Sohn, un ex aiutante della FCC durante l'amministrazione Obama, ha detto che i dati sulla posizione dell'utente sono ad alto rischio dallo scorso anno. È stato allora che il Congresso ha abrogato le norme sulla privacy FCC che vietavano ai gestori di telefonia mobile di condividerlo o venderlo senza l'espresso consenso "opt-in" dei clienti.
"Come minimo, i consumatori dovrebbero poter scegliere se un'azienda come LocationSmart debba avere accesso a questi dati, " lei disse.
© 2018 The Associated Press. Tutti i diritti riservati.