O vazamento de informações em nosso tempo não surpreenderá ninguém. Mas há situações muito incomuns que causam surpresa pelo próprio fato de sua existência. Entre esses exemplos, há um erro no serviço LocationSmart, que possibilitou monitorar em tempo real os usuários de telefones móveis de qualquer operadora dos EUA.
O serviço em si foi projetado para rastrear os telefones de operadoras como AT&T, Sprint, T-Mobile ou Verizon. A precisão do rastreamento é de várias dezenas de metros. Apesar do fato de o próprio serviço declarar a legalidade de seu trabalho, sua versão demo permite monitorar os clientes das operadoras americanas.
De um modo geral, para iniciar o trabalho, é necessário registrar-se, o
serviço não dá acesso a suas funções sem a verificação do usuário. Primeiro, você precisa digitar o nome, endereço de email e número de telefone no formulário da web. Em seguida, o serviço solicita acesso ao local do telefone especificado para a torre de comunicação mais próxima. Como se viu, a solicitação pode ser modificada e obter acesso total ao serviço e seus recursos.
Isso foi
relatado pela primeira vez
por Brian Krebs , um conhecido especialista em segurança da informação. O problema era que os desenvolvedores do serviço não incluíam uma verificação básica da identidade do usuário que estava inserindo os dados. Assim, quase qualquer pessoa com um conhecimento inicial de como os sites funcionam pode ter acesso às possibilidades não menos inofensivas do LocationSmart. E mesmo a senha ou outros dados de autorização não eram necessários.
"Fiquei surpreso ao ver como é fácil acessar os recursos do LocationSmart", disse outro especialista em segurança da informação. “Isso é algo que quase qualquer pessoa pode acessar e com o mínimo esforço. Em seguida, o usuário tem a oportunidade de rastrear a localização das pessoas que estão conectadas às torres de celular sem o seu consentimento. ”
Como se viu, o serviço realmente solicita a conexão com a torre mais próxima de uma operadora móvel. Depois disso, você pode inserir os números de telefone de qualquer pessoa e ver para onde eles vão ou vão. Verificando as coordenadas em um determinado intervalo, tudo isso pode ser exibido no Google Maps para sua própria conveniência e monitorar ainda mais os movimentos de alguém sem problemas.
Os especialistas em segurança da informação começaram a escrever sobre o problema quando a versão demo do serviço foi desativada. O serviço mostrou-se surpreendentemente preciso - determinou-se a localização de uma pessoa pelo número de telefone do seu dispositivo móvel, tudo acabou correto. Os especialistas em segurança cibernética telefonaram para cinco de seus conhecidos, perguntando onde estavam no momento e, com a permissão deles, determinaram o local usando o LocationSmart.
Um dos especialistas que investigou o problema
publicou informações detalhadas sobre a verificação do funcionamento do serviço.
O desenvolvedor do LocationSmart, Mario Proietti, disse que não tinha idéia de usar os dados das pessoas para fins ilegais. “Disponibilizamos informações por lei. O serviço é baseado em tecnologias convencionais, nada de ilegal. Nós respeitamos os direitos das pessoas e agora estamos considerando todos os fatos descobertos por especialistas ”, diz ele.
O serviço em questão fornece serviços para empresas. Primeiro de tudo, ele é projetado para monitorar o trabalho dos funcionários das empresas. E o problema não está no serviço em si, mas em sua versão demo, que foi usada para demonstrar a operação do LocationSmart. Agora, de acordo com os desenvolvedores, o problema já foi eliminado. Agora estamos verificando a versão atualizada para que o problema não se repita.
Krebs é um especialista conhecido no ambiente de segurança da informação. Em particular, ele
ajudou a revelar a identidade do operador de botnet Mirai no ano passado. O próprio Krebs foi um dos primeiros a sofrer de uma botnet. Após a prisão, o operador disse que não trabalhava sozinho, mas estava cumprindo pedidos de empresas terceirizadas. O cibercriminoso recebeu uma sentença suspensa, o que surpreendeu muitos. Krebs se tornou ainda mais famoso do que antes. A propósito, é possível que ele não estivesse investigando se os operadores de botnets não decidissem “punir” o especialista por suas realizações no rastreamento de atacantes.