La fuga de información en nuestro tiempo no sorprenderá a nadie. Pero hay situaciones muy inusuales que causan sorpresa por el hecho mismo de su existencia. Entre estos ejemplos se encuentra un error en el servicio LocationSmart, que permitió monitorear en tiempo real a los usuarios de teléfonos móviles de cualquier operador de los EE. UU.
El servicio en sí está diseñado para rastrear los teléfonos de operadores como AT&T, Sprint, T-Mobile o Verizon. La precisión de seguimiento es de varias decenas de metros. A pesar de que el servicio en sí mismo declara la legalidad de su trabajo, su versión de demostración le permite monitorear a los clientes de los operadores estadounidenses.
En términos generales, para comenzar a trabajar, es necesario registrarse, el
servicio no da acceso a sus funciones sin la verificación del usuario. Primero debe ingresar el nombre, la dirección de correo electrónico y el número de teléfono en el formulario web. Luego, el servicio solicita acceso a la ubicación del teléfono especificado para la torre de comunicación más cercana. Al final resultó que, la solicitud se puede modificar y obtener acceso completo al servicio y sus capacidades.
Esto fue
informado por primera
vez por Brian Krebs , un conocido especialista en seguridad de la información. El problema era que los desarrolladores del servicio no incluían una verificación básica de la identidad del usuario que ingresaba los datos. Por lo tanto, casi cualquier persona con un conocimiento inicial de cómo funcionan los sitios web podría tener acceso a las posibilidades no menos inofensivas de LocationSmart. E incluso la contraseña u otros datos de autorización no eran necesarios.
"Me sorprendió ver lo fácil que es acceder a las capacidades de LocationSmart", dijo otro especialista en seguridad de la información. “Esto es algo a lo que casi cualquier persona puede acceder y con un mínimo esfuerzo. Luego, el usuario tiene la oportunidad de rastrear la ubicación de las personas que están conectadas a las torres celulares sin su consentimiento ".
Al final resultó que, el servicio realmente da una solicitud para conectarse a la torre más cercana de un operador móvil. Después de eso, puede ingresar los números de teléfono de cualquier persona y ver a dónde van o van. Verificando las coordenadas en un cierto intervalo, todo esto se puede mostrar en Google Maps para su propia conveniencia y monitorear aún más los movimientos de alguien sin ningún problema.
Los expertos en seguridad de la información comenzaron a escribir sobre el problema cuando se deshabilitó la versión demo del servicio. El servicio resultó ser sorprendentemente preciso: se determinó la ubicación de una persona por el número de teléfono de su dispositivo móvil, todo resultó ser correcto. Los expertos en ciberseguridad llamaron a cinco de sus conocidos, preguntando dónde estaban en ese momento y, con su permiso, determinaron la ubicación utilizando LocationSmart.
Uno de los expertos que investigó el problema,
publicó información detallada sobre cómo verificar el funcionamiento del servicio.
El desarrollador de LocationSmart, Mario Proietti, dijo que no tenía idea de usar los datos de las personas para ningún propósito ilegal. “Hemos puesto a disposición información por ley. El servicio se basa en tecnologías convencionales, nada ilegal. Respetamos los derechos de las personas y ahora estamos considerando todos los hechos descubiertos por los expertos ”, dice.
El servicio en cuestión brinda servicios a corporaciones. En primer lugar, está diseñado para monitorear el trabajo de los empleados de las empresas. Y el problema no es con el servicio en sí, sino con su versión de demostración, que se utilizó para demostrar el funcionamiento de LocationSmart. Ahora, según los desarrolladores, el problema ya ha sido eliminado. Ahora estamos comprobando la versión actualizada para que el problema no se repita.
Krebs es un experto conocido en el entorno de seguridad de la información. En particular,
ayudó a revelar la identidad del operador de botnets Mirai el año pasado. El propio Krebs fue uno de los primeros en sufrir una botnet. Después del arresto, el operador dijo que no trabajaba solo, sino que estaba cumpliendo órdenes de terceros. El cibercriminal recibió una sentencia suspendida, lo que sorprendió a muchos. Krebs se ha vuelto aún más famoso que antes. Es posible, por cierto, que no hubiera estado investigando si los operadores de botnets no decidieran "castigar" al experto por sus logros en el seguimiento de los atacantes.