Một lỗi phần mềm trong một bản demo trực tuyến miễn phí từ dịch vụ xác định vị trí LocationSmart có thể cho phép bất cứ ai tìm kiếm dữ liệu vị trí điện thoại di động thực từ hàng triệu thiết bị.
Bạn muốn tìm hiểu vị trí của ai đó? Do một số chương trình kém chất lượng, một công ty Mỹ tích trữ dữ liệu điện thoại di động vô tình đã để lộ thông tin làm cho bất cứ ai cũng có khả năng để thực hiện việc này.
LocationSmart chuyên thu thập dữ liệu điện thoại di động từ các nhà cung cấp dịch vụ không dây của Hoa Kỳ như một cách để giúp các doanh nghiệp hiểu khách hàng của họ. Theo trang web của mình, công ty California có dữ liệu vị trí trên hơn 400 triệu thiết bị.
Tuy nhiên, LocationSmart dường như đã không bảo mật dữ liệu đó. Một nhà khoa học máy tính đã phát hiện ra rằng một bản demo trực tuyến cho một trong các dịch vụ của công ty có thể cho phép bất cứ ai truy cập vào một số điện thoại di động, và phát hiện được vị trí của thiết bị đó.
Các số di động đã bật định vị mới có thể thực hiện việc tìm kiếm này. Để làm điều này, bản demo sẽ nhắn tin hoặc gọi đến số điện thoại và yêu cầu sự cho phép của chủ sở hữu.
Theo Robert Xiao, một ứng cử viên tiến sĩ tại Đại học Carnegie Mellon tiết lộ rằng thật không may khi bản demo có chứa một lỗi phần mềm. Anh ta đang tìm hiểu về bản demo và nhận thấy một lỗ hổng trong API của hệ thống có thể cho phép bạn thực hiện tìm kiếm vị trí trên điện thoại di động mà không cần có sự đồng ý của chủ sở hữu.
Xiao tiết lộ lỗi hổng bảo mật này cho nhà báo an ninh Brian Krebs, người đã xác minh rằng bản demo LocationSmart có thể thực sự phát hiện ra vị trí gần đúng của một ai đó; anh và Xiao đã thử nghiệm nó trên năm nguồn tin cậy của Krebs.
“Một trong những nguồn tin nói rằng lỗi bảo mật này có thể phát hiện ra kinh độ và vĩ độ từ khoảng cách 1 dặm so với vị trí hiện tại”, Krebs viết. “Một nguồn tin khác cho biết vị trí tìm thấy bởi các nhà nghiên cứu là 1,5 dặm từ vị trí hiện tại của mình. Ba nguồn còn lại cho biết vị trí được trả về cho điện thoại của họ là giữa khoảng 1/5 đến 1/3 của một dặm vào thời điểm đó.”
Thời gian lỗi đã xảy ra chưa được xác định, nhưng LocationSmart dường như đã đưa ra bản demo ngoại tuyến.
Xiao đang bị điều tra khi có tin tức cho rằng nó đang cung cấp dữ liệu vị trí cho một công ty công nghệ nhà tù Securus Technologies. Tuần trước, một thượng nghị sĩ Hoa Kỳ tiết lộ rằng Securus cũng đang cung cấp dịch vụ tra cứu vị trí điện thoại di động cho các cơ quan thực thi pháp luật và cải huấn mà không có bất kỳ một mệnh lệnh nào.
Cho đến nay, LocationSmart và Securus vẫn chưa có bất cứ một bình luận nào. Nhưng thực tiễn đang đưa ra những câu hỏi nghiêm túc về lý do tại sao các nhà cung cấp dịch vụ không dây của Mỹ đang trao rất nhiều dữ liệu riêng tư cho các công ty thứ ba trong khi không có mệnh lệnh nào được đưa ra.
Các nhà cung cấp thiết bị không dây nổi tiếng không tiết lộ bất kỳ chi tiết gì về mối quan hệ của họ với LocationSmart hoặc Securus. Nhưng hôm thứ Năm vừa rồi, một phát ngôn viên của AT & T cho biết: “Chúng tôi không cho phép chia sẻ thông tin vị trí mà không có sự đồng ý của khách hàng hoặc yêu cầu của cơ quan thực thi pháp luật. Nếu chúng tôi biết rằng nhà cung cấp không tuân thủ chính sách của chúng tôi, chúng tôi sẽ có những hành động thích hợp.”
Thông tin mới nhất cập nhật ngày 18/5/2018: Trong một tuyên bố, LocationSmart cho biết: “Chúng tôi đã xác nhận thêm rằng lỗ hổng chưa được khai thác trước ngày 16 tháng 5 và không dẫn đến bất kỳ thông tin khách hàng nào mà không có sự cho phép của họ”.