Informationslecks in unserer Zeit werden niemanden überraschen. Es gibt jedoch sehr ungewöhnliche Situationen, die durch die Tatsache ihrer Existenz überrascht werden. Zu diesen Beispielen gehört ein Fehler im LocationSmart-Dienst, der es ermöglichte, die Benutzer von Mobiltelefonen aller US-Betreiber in Echtzeit zu überwachen.
Der Dienst selbst dient zur Verfolgung der Telefone von Betreibern wie AT & T, Sprint, T-Mobile oder Verizon. Die Tracking-Genauigkeit beträgt mehrere zehn Meter. Trotz der Tatsache, dass der Dienst selbst die Rechtmäßigkeit seiner Arbeit erklärt, können Sie mit seiner Demoversion Kunden von US-Betreibern überwachen.
Um mit der Arbeit beginnen zu können, ist im Allgemeinen eine Registrierung erforderlich. Der
Dienst gewährt ohne Benutzerüberprüfung
keinen Zugriff auf seine Funktionen. Zuerst müssen Sie den Namen, die E-Mail-Adresse und die Telefonnummer in das Webformular eingeben. Anschließend fordert der Dienst den Zugriff auf den Standort des angegebenen Telefons für den nächsten Kommunikationsturm an. Wie sich herausstellte, kann die Anforderung geändert werden und vollen Zugriff auf den Dienst und seine Funktionen erhalten.
Dies wurde erstmals
von Brian Krebs , einem bekannten Spezialisten für Informationssicherheit, berichtet. Das Problem war, dass die Entwickler des Dienstes keine grundlegende Überprüfung der Identität des Benutzers, der die Daten eingibt, enthielten. Somit kann fast jede Person mit anfänglichen Kenntnissen über die Funktionsweise von Websites Zugriff auf die nicht weniger harmlosen Möglichkeiten von LocationSmart erhalten. Und selbst das Passwort oder andere Autorisierungsdaten wurden nicht benötigt.
"Ich war erstaunt, als ich sah, wie einfach es ist, an die Funktionen von LocationSmart zu gelangen", sagte ein anderer Spezialist für Informationssicherheit. „Dies ist etwas, auf das fast jeder mit minimalem Aufwand zugreifen kann. Dann hat der Benutzer die Möglichkeit, den Standort von Personen zu verfolgen, die ohne ihre Zustimmung mit den Mobilfunkmasten verbunden sind. “
Wie sich herausstellte, fordert der Dienst tatsächlich auf, eine Verbindung zum nächsten Turm eines Mobilfunkbetreibers herzustellen. Danach können Sie die Telefonnummern aller Personen eingeben und sehen, wohin sie gehen oder gehen. Wenn Sie die Koordinaten in einem bestimmten Intervall überprüfen, kann dies alles auf Google Maps angezeigt werden, um die Bewegungen einer Person ohne Probleme weiter zu überwachen.
Experten für Informationssicherheit begannen, über das Problem zu schreiben, als die Demoversion des Dienstes deaktiviert wurde. Der Dienst erwies sich als überraschend genau - die Bestimmung des Standorts einer Person anhand der Telefonnummer ihres Mobilgeräts wurde überprüft, und alles stellte sich als korrekt heraus. Cybersicherheitsexperten riefen fünf ihrer Bekannten an und fragten, wo sie sich gerade befänden. Mit ihrer Erlaubnis bestimmten sie den Standort mithilfe von LocationSmart.
Einer der Experten, der das Problem untersuchte,
veröffentlichte detaillierte Informationen zur Überprüfung des Betriebs des Dienstes.
Der LocationSmart-Entwickler Mario Proietti sagte, er habe keine Ahnung, die Daten von Personen für illegale Zwecke zu verwenden. „Wir haben Informationen gesetzlich zur Verfügung gestellt. Der Dienst basiert auf konventionellen Technologien, nichts Illegales. Wir respektieren die Rechte der Menschen und berücksichtigen jetzt alle Fakten, die von Experten entdeckt wurden “, sagt er.
Der betreffende Dienst erbringt Dienstleistungen für Unternehmen. Zunächst soll die Arbeit von Mitarbeitern von Unternehmen überwacht werden. Das Problem liegt nicht beim Dienst selbst, sondern bei der Demoversion, mit der die Funktionsweise von LocationSmart demonstriert wurde. Nach Angaben der Entwickler ist das Problem nun bereits behoben. Jetzt überprüfen wir die aktualisierte Version, damit das Problem nicht erneut auftritt.
Krebs ist ein Experte im Bereich Informationssicherheit. Insbesondere
half er letztes Jahr
dabei, die Identität des Botnetzbetreibers Mirai
preiszugeben . Krebs selbst war einer der ersten, der unter einem Botnetz litt. Nach der Festnahme teilte der Betreiber mit, dass er nicht alleine arbeite, sondern Aufträge von Drittunternehmen erfülle. Der Cyberkriminelle erhielt eine Bewährungsstrafe, die viele überraschte. Krebs ist noch berühmter geworden als zuvor. Es ist übrigens möglich, dass er nicht untersucht hätte, wenn die Botnetzbetreiber nicht beschlossen hätten, den Experten für seine Leistungen bei der Verfolgung von Angreifern zu „bestrafen“.