خلل في خدمة غير معروفة جعل من الممكن مراقبة مستخدمي الهاتف لأي مشغل أمريكي

تسرب المعلومات في عصرنا لن يفاجئ أحدا. ولكن هناك حالات غير عادية للغاية تسبب مفاجأة لحقيقة وجودها. من بين هذه الأمثلة وجود خلل في خدمة LocationSmart ، مما جعل من الممكن مراقبة مستخدمي الهواتف المحمولة لأي مشغلين أمريكيين في الوقت الفعلي.

تم تصميم الخدمة نفسها لتتبع هواتف المشغلين مثل AT&T أو Sprint أو T-Mobile أو Verizon. دقة التتبع عدة عشرات الأمتار. على الرغم من حقيقة أن الخدمة نفسها تعلن شرعية عملها ، فإن نسختها التجريبية تسمح لك بمراقبة عملاء المشغلين الأمريكيين.

بشكل عام ، من أجل بدء العمل ، مطلوب التسجيل ، لا تمنح الخدمة الوصول إلى وظائفها دون التحقق من المستخدم. تحتاج أولاً إلى إدخال الاسم وعنوان البريد ورقم الهاتف في نموذج الويب. ثم تطلب الخدمة الوصول إلى موقع الهاتف المحدد لأقرب برج اتصالات. كما اتضح ، يمكن تعديل الطلب والحصول على وصول كامل إلى الخدمة وقدراتها.

تم الإبلاغ عن هذا لأول مرة من قبل بريان كريبس ، اختصاصي أمن المعلومات المعروف. كانت المشكلة أن مطوري الخدمة لم يتضمنوا التحقق الأساسي من هوية المستخدم الذي يدخل البيانات. وبالتالي ، يمكن لأي شخص تقريبًا لديه معرفة أولية بكيفية عمل مواقع الويب الوصول إلى الاحتمالات التي لا تقل ضررًا عن LocationSmart. وحتى كلمة المرور أو بيانات التفويض الأخرى لم تكن مطلوبة.

قال متخصص آخر في أمن المعلومات: "لقد فوجئت للتو عندما رأيت مدى سهولة الوصول إلى قدرات LocationSmart". "هذا شيء يمكن لأي شخص الوصول إليه تقريبًا وبأقل جهد. ثم يتم منح المستخدم الفرصة لتتبع موقع الأشخاص المتصلين بأبراج الهواتف الخلوية دون موافقتهم. "

كما اتضح ، تقدم الخدمة بالفعل طلبًا للاتصال بأقرب برج لمشغل الهاتف المحمول. بعد ذلك ، يمكنك إدخال أرقام هواتف أي شخص ، ومعرفة أين يذهبون أو يذهبون. من خلال التحقق من الإحداثيات في فترة زمنية معينة ، يمكن عرض كل هذا على خرائط Google لراحتك الخاصة ومراقبة المزيد من تحركات شخص دون أي مشاكل.

بدأ خبراء أمن المعلومات في الكتابة عن المشكلة عندما تم تعطيل النسخة التجريبية من الخدمة. اتضح أن الخدمة دقيقة بشكل مدهش - تم تحديد موقع الشخص من خلال رقم هاتف جهازه المحمول ، وتبين أن كل شيء صحيح. اتصل خبراء الأمن السيبراني بخمسة من معارفهم ، وسألوا عن مكانهم الحالي ، وبإذن منهم ، حددوا الموقع باستخدام LocationSmart.

نشر أحد الخبراء الذين قاموا بالتحقيق في المشكلة ، معلومات تفصيلية حول التحقق من تشغيل الخدمة.

قال مطور LocationSmart Mario Proietti إنه ليس لديه فكرة عن استخدام بيانات الأشخاص لأي غرض غير قانوني. "لقد جعلنا المعلومات متاحة بموجب القانون. تعتمد الخدمة على التقنيات التقليدية ، ولا يوجد شيء غير قانوني. نحن نحترم حقوق الناس وننظر الآن في جميع الحقائق التي اكتشفها الخبراء.

تقدم الخدمة المعنية الخدمات للشركات. بادئ ذي بدء ، تم تصميمه لرصد عمل موظفي الشركات. والمشكلة ليست في الخدمة نفسها ، ولكن في الإصدار التجريبي ، الذي تم استخدامه لإثبات تشغيل LocationSmart. الآن ، وفقا للمطورين ، تم القضاء على المشكلة بالفعل. الآن نحن نتحقق من الإصدار المحدث حتى لا تتكرر المشكلة.

كريبس خبير معروف في بيئة أمن المعلومات. على وجه الخصوص ، ساعد في الكشف عن هوية مشغل الروبوتات Mirai العام الماضي. كان كريبس نفسه من أوائل الذين عانوا من الروبوتات. بعد الاعتقال ، قال عامل الهاتف إنه لا يعمل بمفرده ، لكنه كان يفي بأوامر من شركات طرف ثالث. تلقى المجرم الإلكتروني عقوبة مع وقف التنفيذ ، والتي فاجأت الكثيرين. أصبحت كريبس أكثر شهرة من ذي قبل. من الممكن ، بالمناسبة ، أنه لم يكن ليقوم بالتحقيق إذا لم يقرر مشغلو الروبوتات "معاقبة" الخبير على إنجازاته في تعقب المهاجمين.