我们时代的信息泄漏不会让任何人感到惊讶。 但是,有一些非常不寻常的情况会因其存在而引起意外。 在此类示例中,LocationSmart服务存在一个错误,该错误使实时监视任何美国运营商的手机用户成为可能。
该服务本身旨在跟踪运营商的电话,例如AT&T,Sprint,T-Mobile或Verizon。 跟踪精度为几十米。 尽管该服务本身声明其工作合法,但其演示版本仍允许您监视美国运营商的客户。
一般而言,为了开始工作,需要注册,该
服务未经用户验证
就无法访问其功能。 首先,您需要在网络表单中输入姓名,邮件地址和电话号码。 然后,服务请求访问最近的通讯塔的指定电话的位置。 事实证明,可以修改请求并获得对该服务及其功能的完全访问权限。
这是
由著名的信息安全专家
Brian Krebs首次
报道的 。 问题在于该服务的开发人员不包括对输入数据的用户身份的基本验证。 因此,几乎所有对网站的工作方式都有初步了解的人都可以访问LocationSmart的各种功能。 甚至不需要密码或其他授权数据。
另一位信息安全专家说:“当我看到使用LocationSmart的功能是如此简单时,我感到非常惊讶。” “这是几乎任何人都可以轻松访问的东西。 然后,用户有机会跟踪未经其同意而连接到手机信号塔的人员的位置。”
事实证明,该服务确实发出了连接到移动运营商最近的塔楼的请求。 之后,您可以输入任何人的电话号码,并查看他们去往何处。 每隔一定时间检查一次坐标,所有这些都可以显示在Google Maps上,以方便您自己,并进一步监视某人的活动而没有任何问题。
禁用该服务的演示版时,信息安全专家开始写有关该问题的文章。 事实证明该服务非常准确-通过检查他的移动设备的电话号码确定一个人的位置,结果一切都是正确的。 网络安全专家打电话给他们的五个熟人,询问他们目前在哪里,并在他们的允许下使用LocationSmart确定了位置。
调查该问题的一位专家
发布了有关检查服务运行情况的
详细信息 。
LocationSmart开发人员Mario Proietti说,他不知道将个人数据用于任何非法目的。 “我们已经依法提供了信息。 该服务基于常规技术,没有违法行为。 他说:“我们尊重人民的权利,现在正在考虑专家发现的所有事实。”
有关服务为公司提供服务。 首先,它旨在监视企业员工的工作。 问题不在于服务本身,而在于其演示版本,该版本用于演示LocationSmart的操作。 现在,据开发人员说,该问题已经消除。 现在,我们正在检查更新的版本,以便该问题不再发生。
Krebs是信息安全环境中的知名专家。 特别是去年,他
帮助揭示了僵尸网络运营商Mirai
的身份。 Krebs本人是最早遭受僵尸网络攻击的人之一。 被捕后,操作员说他不是自己工作,而是在履行第三方公司的命令。 网络犯罪分子被判缓刑,这使许多人感到惊讶。 克雷布斯比以前更著名。 顺便说一句,如果僵尸网络运营商没有决定“惩罚”专家以追踪攻击者,那么他可能不会进行调查。