Kebocoran informasi di zaman kita tidak akan mengejutkan siapa pun. Tetapi ada situasi yang sangat tidak biasa yang mengejutkan karena fakta keberadaannya. Di antara contoh-contoh tersebut adalah bug dalam layanan LocationSmart, yang memungkinkan untuk memonitor secara real time pengguna ponsel dari operator AS.
Layanan itu sendiri dirancang untuk melacak ponsel operator seperti AT&T, Sprint, T-Mobile, atau Verizon. Akurasi pelacakan beberapa puluh meter. Terlepas dari kenyataan bahwa layanan itu sendiri menyatakan legalitas pekerjaannya, versi demo memungkinkan Anda untuk memantau pelanggan dari operator AS.
Secara umum, untuk memulai pekerjaan, pendaftaran diperlukan,
layanan tidak memberikan akses ke fungsinya tanpa verifikasi pengguna. Pertama, Anda perlu memasukkan nama, alamat surat, dan nomor telepon di formulir web. Kemudian layanan meminta akses ke lokasi telepon yang ditentukan untuk menara komunikasi terdekat. Ternyata, permintaan dapat dimodifikasi dan mendapatkan akses penuh ke layanan dan kemampuannya.
Ini pertama kali
dilaporkan oleh Brian Krebs , seorang spesialis keamanan informasi yang terkenal. Masalahnya adalah bahwa pengembang layanan tidak memasukkan verifikasi dasar identitas pengguna yang memasukkan data. Dengan demikian, hampir setiap orang dengan pengetahuan awal tentang cara kerja situs web bisa mendapatkan akses ke kemungkinan LocationSmart yang tidak kalah berbahaya. Dan bahkan kata sandi atau data otorisasi lainnya tidak diperlukan.
"Saya terkejut ketika saya melihat betapa mudahnya untuk mendapatkan kemampuan LocationSmart," kata spesialis keamanan info lainnya. “Ini adalah sesuatu yang hampir semua orang dapat mengakses, dan dengan sedikit usaha. Kemudian pengguna diberi kesempatan untuk melacak lokasi orang-orang yang terhubung ke menara sel tanpa persetujuan mereka. "
Ternyata, layanan ini benar-benar memberikan permintaan untuk terhubung ke menara terdekat dari operator seluler. Setelah itu, Anda dapat memasukkan nomor telepon siapa saja, dan melihat ke mana mereka pergi atau pergi. Memeriksa koordinat pada interval tertentu, semua ini dapat ditampilkan di Google Maps untuk kenyamanan Anda sendiri dan lebih lanjut memantau pergerakan seseorang tanpa masalah.
Pakar keamanan informasi mulai menulis tentang masalah ketika versi demo layanan dinonaktifkan. Layanan itu ternyata sangat akurat - menentukan lokasi seseorang dengan nomor telepon perangkat selulernya diperiksa, semuanya ternyata benar. Pakar keamanan siber menelepon lima kenalan mereka, menanyakan di mana mereka saat ini, dan dengan izin mereka, menentukan lokasi menggunakan LocationSmart.
Salah satu ahli yang menyelidiki masalah tersebut,
menerbitkan informasi terperinci tentang pengecekan pengoperasian layanan.
Pengembang LocationSmart Mario Proietti mengatakan bahwa dia tidak punya ide untuk menggunakan data orang untuk tujuan ilegal. “Kami telah menyediakan informasi secara hukum. Layanan ini didasarkan pada teknologi konvensional, tidak ada yang ilegal. Kami menghormati hak-hak orang dan sekarang mempertimbangkan semua fakta yang ditemukan oleh para ahli, ”katanya.
Layanan yang dimaksud menyediakan layanan bagi perusahaan. Pertama-tama, ia dirancang untuk memantau pekerjaan karyawan perusahaan. Dan masalahnya bukan pada layanan itu sendiri, tetapi dengan versi demo, yang digunakan untuk menunjukkan operasi LocationSmart. Sekarang, menurut pengembang, masalahnya sudah dieliminasi. Sekarang kami sedang memeriksa versi yang diperbarui sehingga masalah tidak terulang kembali.
Krebs adalah seorang ahli yang dikenal di lingkungan keamanan informasi. Secara khusus, ia
membantu mengungkap identitas operator botnet Mirai tahun lalu. Krebs sendiri adalah salah satu yang pertama menderita botnet. Setelah penangkapan, operator mengatakan bahwa ia tidak bekerja sendiri, tetapi memenuhi pesanan dari perusahaan pihak ketiga. Penjahat dunia maya menerima hukuman percobaan, yang mengejutkan banyak orang. Krebs menjadi lebih terkenal dari sebelumnya. Omong-omong, adalah mungkin, bahwa ia tidak akan menyelidiki jika operator botnet tidak memutuskan untuk “menghukum” sang ahli karena prestasinya dalam melacak penyerang.