image

Утечками информации в наше время никого не удивишь. Но бывают весьма необычные ситуации, которые вызывают удивление самим фактом своего существования. В числе таких примеров — баг в сервисе LocationSmart, позволявший отслеживать в режиме реального времени пользователей мобильных телефонов любых операторов США.

Сам сервис предназначен для отслеживания телефонов таких операторов, как AT&T, Sprint, T-Mobile, или Verizon. Точность отслеживания — несколько десятков метров. Несмотря на то, что сам сервис заявляет о законности своей работы, его демо-версия позволяет следить за клиентами операторов США.

Вообще говоря, для того, чтобы начать работу, необходима регистрация, сервис не дает доступ к своим функциям без верификации пользователя. Для начала требуется ввести имя, адрес почты и телефонный номер в веб-форму. Затем сервис запрашивает доступ к местоположению указанного телефона для ближайшей вышки связи. Как оказалось, запрос можно модифицировать и получить полный доступ к сервису и его возможностям.

Об этом первым сообщил Брайан Кребс, известный специалист по информационной безопасности. Проблема была в том, что разработчики сервиса не включили базовую проверку личности пользователя, вводящего данные. Таким образом, практически любой человек с начальными знаниями принципов работы веб-сайтов мог получить доступ к не самым безобидным возможностям LocationSmart. Причем не нужен был даже пароль или другие авторизационные данные.

«Я просто опешил, когда увидел, насколько легко можно добраться к возможностям LocationSmart», — заявил другой специалист по инфобезу. «Это то, к чему может получить доступ практически любой человек, причем с минимальными усилиями. Затем пользователю дается возможность отслеживать местоположение людей, которые подключены к вышкам сотовой связи без их на то согласия».

Как оказалось, сервис действительно дает запрос на подключение к ближайшей вышке оператора мобильной связи. После этого можно ввести номера телефонов любых людей, и смотреть, куда они идут или едут. Проверяя координаты с определенным интервалом, все это можно вывести на Google Maps для собственного удобства и дальше следить за перемещениями кого-либо без всяких проблем.

О проблеме специалисты по информационной безопасности начали писать тогда, когда демо-версия сервиса была отключена. Работа сервиса оказалась удивительно точной — определение местоположения человека по номеру телефона его мобильного устройства было проверено, все оказалось верным. Специалисты по кибербезопасности позвонили пяти своим знакомым, спросив, где они находятся в настоящий момент, и с их разрешения определили местоположение при помощи LocationSmart.

Один из специалистов, исследовавших проблему, опубликовал детальную информацию о проверке работы сервиса.

Разработчик LocationSmart Марио Проиетти рассказал, что у него и в мыслях не было использовать данные людей с какой-либо незаконной целью. «Мы сделали информацию доступной согласно закону. Сервис основан на обычных технологиях, ничего нелегального. Мы уважаем права людей и сейчас рассматриваем все факты, обнаруженные экспертами», — говорит он.

Сервис, о котором идет речь, предоставляет услуги корпорациям. В первую очередь, он предназначен для мониторинга работы сотрудников предприятий. Причем проблема не с самим сервисом, а с его демо-версией, которая использовалась для демонстрации работы LocationSmart. Сейчас, по словам разработчиков, проблема уже ликвидирована. Сейчас идет проверка обновленной версии, с тем, чтобы проблема больше не повторялась.

Кребс — известный в среде информационной безопасности эксперт. В частности, это он помог раскрыть личность оператора ботнета Mirai в прошлом году. Сам Кребс был одним из первых, кто пострадал из-за работы ботнета. После ареста оператор сообщил, что работал не сам по себе, а выполнял заказы сторонних компаний. Киберпреступник получил условный срок, что удивило многих. Кребс стал еще более известным, чем ранее. Возможно, кстати, что он и не занимался бы расследованием, если бы операторы ботнета не решили бы «наказать» эксперта за его достижения в отслеживании злоумышленников.

Комментарии (7)


  1. Juma
    20.05.2018 14:33

    Мне в равно как этот сервис выдает инфорамацию о местоположениях телефонов. Но как он сам получает данные обо всех подключенных телефонах к базовым станциям?


    1. pha
      20.05.2018 14:56
      +2

      ему информацию передают сами операторы


      1. Juma
        20.05.2018 14:57

        Я как раз так и про это. С какой стати?!


        1. ARD8S
          20.05.2018 16:56
          +2

          Так сейчас в любом договоре есть квадратик «разрешаю оператору передавать и обрабатывать данные третьим лицам». Даже если вы запретите, то в базе «согласие», как типовое, равно всё будет и всем «регуляторам» пофиг. Это как с базами «персональных данных» которые «строго охраняются» законами и роскомнадзорами, а на самом деле — продаются и покупаются. Или тупо парсятся.


  1. dartraiden
    20.05.2018 16:16
    +1

    Можно сколько угодно заморачиваться над минимизацией своего цифрового отпечатка, а тут такое. Хочется всех сжечь.


    1. roscomtheend
      21.05.2018 12:03

      Так у заботящихся проблем нет — они и так не пользуются телефонами и живут в дали от цивилизации. Действительно заботящиеся.


  1. super-guest
    21.05.2018 00:58
    +1

    locationsmart.com из России не открывается :( как же это достало…