Robert Xiao, student počítačové vědy v Carnegie Mellon, nedávno objevil zranitelnost na webových stránkách LocationSmart, která umožnila prohlížet polohu každého uživatele většině operátorů.
LocationSmart je společnost, která shromažďuje údaje o zákaznících od hlavních mobilních operátorů, včetně společností Verizon, AT&T, Sprint a T-Mobile ve Spojených státech, a poté je prodává jiným společnostem za různými účely, cybersecurity a proximity marketingu. Až do zjištění zranitelnosti společnost SiteSmart nabídla zkušební webovou stránku, která umožnila komukoli zadat své telefonní číslo, potvrdit požadavek prostřednictvím SMS nebo telefonního hovoru a zobrazit jejich přibližné umístění v reálném čase.
Problém, jak zjistil Xiao, bylo to, že na webové stránce byla chyba, která umožnila komukoli, kdo má technické dovednosti, aby obešel proces ověřování telefonních čísel a prohlížel polohu v reálném čase každého účastníka většině významných operátorů ve Spojených státech. Bell, Rogers a Telus v Kanadě. V blogu Xiao uvedl, že chyba v podstatě zahrnuje vyžádání údajů o poloze ve formátu JSON namísto výchozího formátu XML: Pokud zadáte stejnou žádost pomocí requesttype = locreq.json, dostanete úplná data o poloze bez souhlasu. To je podstata chyby.
Zakladatel a generální ředitel LocationSmart Mario Proietti sdelil, že společnost tuto záležitost vyšetřuje. „Neposkytujeme údaje,“ řekl Proietti. „Zpřístupňujeme je pro legitimní a oprávněné účely, vycházíme z legitimního využívání údajů o poloze, které se odehrávají pouze na základě souhlasu. Bereme vážně soukromí a přezkoumáme všechny skutečnosti a podíváme se na ně.“ Mluvčí společnosti AT&T sdělil, že operátor nepovoluje sdílení informací o poloze bez souhlasu zákazníka nebo žádosti ze strany orgánů činných v trestním řízení, zatímco Verizon, Sprint a T-Mobile všichni poukazují na své zásady ochrany osobních údajů.
