Les fuites d'informations à notre époque ne surprendront personne. Mais il y a des situations très inhabituelles qui surprennent par le fait même de son existence. Parmi ces exemples, il y a un bogue dans le service LocationSmart, qui permettait de surveiller en temps réel les utilisateurs de téléphones mobiles de n'importe quel opérateur américain.
Le service lui-même est conçu pour suivre les téléphones des opérateurs tels que AT&T, Sprint, T-Mobile ou Verizon. La précision du suivi est de plusieurs dizaines de mètres. Malgré le fait que le service lui-même déclare la légalité de son travail, sa version démo vous permet de surveiller les clients des opérateurs américains.
De manière générale, pour commencer à travailler, une inscription est requise, le
service ne donne pas accès à ses fonctions sans vérification par l'utilisateur. Vous devez d'abord saisir le nom, l'adresse e-mail et le numéro de téléphone dans le formulaire Web. Ensuite, le service demande l'accès à l'emplacement du téléphone spécifié pour la tour de communication la plus proche. Il s'est avéré que la demande pouvait être modifiée et obtenir un accès complet au service et à ses capacités.
Cela a été
signalé pour la première
fois par Brian Krebs , un spécialiste bien connu de la sécurité de l'information. Le problème est que les développeurs du service n'ont pas inclus une vérification de base de l'identité de l'utilisateur saisissant les données. Ainsi, presque toute personne ayant une connaissance initiale du fonctionnement des sites Web pourrait accéder aux possibilités non moins inoffensives de LocationSmart. Et même le mot de passe ou d'autres données d'autorisation n'étaient pas nécessaires.
"J'ai été surpris quand j'ai vu à quel point il était facile d'accéder aux capacités de LocationSmart", a déclaré un autre spécialiste de la sécurité des informations. «C'est quelque chose auquel presque tout le monde peut accéder, et avec un minimum d'effort. Ensuite, l'utilisateur a la possibilité de suivre l'emplacement des personnes connectées aux tours de téléphonie cellulaire sans leur consentement. »
Il s'est avéré que le service donne vraiment une demande de connexion à la tour la plus proche d'un opérateur mobile. Après cela, vous pouvez entrer les numéros de téléphone de n'importe quelle personne et voir où ils vont ou vont. En vérifiant les coordonnées à un certain intervalle, tout cela peut être affiché sur Google Maps pour votre propre convenance et surveiller davantage les mouvements de quelqu'un sans aucun problème.
Les experts en sécurité de l'information ont commencé à écrire sur le problème lorsque la version de démonstration du service a été désactivée. Le service s'est révélé étonnamment précis - la détermination de l'emplacement d'une personne par le numéro de téléphone de son appareil mobile a été vérifiée, tout s'est avéré correct. Les experts en cybersécurité ont appelé cinq de leurs connaissances, leur demandant où ils se trouvaient en ce moment et, avec leur permission, ont déterminé l'emplacement à l'aide de LocationSmart.
L'un des experts qui a enquêté sur le problème a
publié des informations détaillées sur la vérification du fonctionnement du service.
Le développeur de LocationSmart, Mario Proietti, a déclaré qu'il n'avait aucune idée d'utiliser les données des personnes à des fins illégales. «Nous avons rendu les informations disponibles par la loi. Le service est basé sur des technologies conventionnelles, rien d'illégal. Nous respectons les droits des personnes et examinons maintenant tous les faits découverts par les experts », dit-il.
Le service en question fournit des services aux entreprises. Tout d'abord, il est conçu pour surveiller le travail des employés des entreprises. Et le problème n'est pas avec le service lui-même, mais avec sa version de démonstration, qui a été utilisée pour démontrer le fonctionnement de LocationSmart. Maintenant, selon les développeurs, le problème a déjà été éliminé. Nous vérifions maintenant la version mise à jour afin que le problème ne se reproduise pas.
Krebs est un expert connu dans l'environnement de la sécurité de l'information. Il a notamment
aidé à révéler l' identité de l'opérateur de botnet Mirai l'année dernière. Krebs lui-même a été l'un des premiers à souffrir d'un botnet. Après l'arrestation, l'opérateur a déclaré qu'il ne travaillait pas seul, mais qu'il exécutait les ordres de sociétés tierces. Le cybercriminel a été condamné à une peine avec sursis, ce qui en a surpris beaucoup. Krebs est devenu encore plus célèbre qu'auparavant. Il est possible, en passant, qu'il n'aurait pas enquêté si les opérateurs de botnet n'avaient pas décidé de «punir» l'expert pour ses réalisations dans le suivi des attaquants.