天创培训:您身边的信息安全培训专家!
行业动态
数百万美国人遭受监视与这些公司有关

数百万美国人遭受监视与这些公司有关

5月17日,LocationSmart离线了他们的服务器,这家为美国几大运营商提供实时位置数据服务的公司究竟发生了什么纰漏?不妨先看这个日期之前的一组消息:

5月10日,纽约时报透露,Securus的一款产品可以在几秒钟内追踪美国几乎所有手机的位置;

5月15日,ZDnet.com 发表了一篇文章称,Securus通过中介机构LocationSmart获取了大量居民手机实时位置数据;

5月16日,另一则重磅新闻出现在人们的视野:一名黑客入侵Securus公司内部网站后,竟发现该公司从电信公司购买电话位置数据后将之出售给了美国执法机构,为证明这则耸人听闻的新闻的真实性,黑客提供了几个公司内部文件,文件内包含包含从2011年到今年的2,800多个执法人员的用户名,电子邮件地址,电话号码以及Securus用户的散列密码和安全问题。

上文频频出现的Securus实际上是一家总部位于美国的监狱技术公司,其产品包括控制囚犯手机的系统。此外每一则消息均与手机位置数据相关,不难让人隐约开始怀疑一系列新闻均与LocationSmart有关。

而在重磅新闻上线几小时前,安全研究员罗伯特·肖(同时也是CMU 人机交互研究所的博士候选人)已经在LocationSmart网站上发现一个可以用以定位手机的免费演示工具,只需在输入姓名,电子邮件地址和电话号码,即可让任何人查看对应手机的大致位置。然后LocationSmart会将用户提供的电话号码文本化,并请求允许Ping该设备最近的蜂窝网络塔。一旦获得同意,LocationSmart会将订户的近似经度和纬度文本,在Google街景地图上绘制坐标。这意味着任何对网站知之甚少的人都可以在未经授权的前提下滥用LocationSmart的网站功能。根据罗伯特·肖和搭档的测试,几秒钟内即可通过LocationSmart服务的确定五个不同移动电话的近乎精确的位置。在网站离线之前,这一服务始终可用。

数百万美国人遭受监视与这些公司有关

LocationSmart的演示页面

新闻曝光后,LocationSmart公司展开相关调查,创始人兼首席执行官Mario Proietti声称LocationSmart只会在得到授权的情况下将数据用于合法目的,会对所有事实进行严格调查。固然LocationSmart的隐私政策表示他们已经采取防火墙保护等安全措施以降低安全问题发生概率,但他们的用户仍然十分惶恐。当前LocationSmart的公共演示服务具体时长虽无明确区间,但一条来自archive.org的链接表明它至少可以追溯到2017年1月。虽然LocationSmart的演示页面要求用户同意让他们的设备接受服务,LocationSmart却显然没有做任何事情来阻止或验证与API本身的直接交互。

有报道称,Securus从LocationSmart获取其手机位置数据。Securus未进行回应,但他们针对此前一系列新闻给参议院的回应是他们通过跟无线运营商有商业关系的第三方位置聚合器购买AT&T客户的实时位置信息,并定期与政府客户分享这些信息。AT&T发言人则表示未经客户同意或执法部门要求,他们不允许分享位置信息。参议员Ron Wyden认为Securus的做法分散了无线运营商的法律义务,还不必要地让数百万美国人遭受政府的潜在虐待和不受监督的监视。他在在5月9日给前四大无线运营商(AT&T,Sprint,T-Mobile和Verizon)和美国联邦通信委员会的信中敦促所有各方采取“积极措施,防止无限制的披露和潜在的私人客户数据滥用。

虽然现在LocationSmart离线了网站,但隐患并未真正消除,饱受隐私泄露问题折磨的用户会如何解决?更严格的立法能从根本解决问题吗?各方都对答案翘首以待。