Оновлення №2, 8 лютого 2019 року (10:15 ранку ET):Сьогодні вранці ми чули від AT&T про скандал із даними про місцезнаходження, описаний нижче. AT&T також заявляє, що припиняє всі асоціації з послугами агрегатора локацій:
Нам не відомо про будь-яке зловживання цим сервісом, яке закінчилося два роки тому. Ми вже вирішили ліквідувати всі служби об’єднання місцеположень - включаючи послуги з чіткими вигодами для споживачів - після повідомлень про нецільове використання іншими службами локації, що включають агрегатори.
Це означає, що два з трьох причетних носіїв видали відповіді (Sprint раніше казав нам, що він припиняє свої асоціації з агрегаторами даних, див. Нижче).
Ось заява T-Mobile повністю:
Ми зрозуміли, що ми припиняємо всі наші послуги з об'єднання місцеположень, і ми майже закінчили цей процес. Ми працюємо над тим, щоб припинити це відповідально, що не вплине на клієнтів, які використовують ці послуги для таких речей, як екстрена допомога. Ми серйозно ставимося до конфіденційності та безпеки наших клієнтів і були першими постачальниками послуг бездротового зв’язку, які взяли на себе зобов’язання припинити ці послуги до березня.
До цієї статті ми додамо друге оновлення, якщо почуємося від AT&T.
Оригінальна стаття, 7 лютого 2019 (18:01 ET):В січні,Материнська плата опублікував статтю бомби, в якій описано, як мисливці за головами здатні легко отримувати дані про місцезнаходження користувача смартфона, купуючи інформацію з підступних джерел. Ці джерела, у свою чергу, отримують свою інформацію безпосередньо від трьох із чотирьох найбільших бездротових операторів у країні.
У цій статті, aМатеринська плата журналіст розповідає, як вони заплатили мисливцю за головами 300 доларів, щоб знайти свій телефон, що мисливець зробив дуже легко.
Бездротові оператори, відповідаючи на це кричуще зневага до конфіденційності користувачів, заявили, що такі ситуації є рідкісними та представляють проблему.
Через місяць,Материнська плата опублікував нову статтю на ту саму тему, цього разу даючи зрозуміти, що ця проблема набагато, набагато більша, ніж ми спочатку думали.
Сотні людей купували дані користувачів десятками тисяч за відносно низькі ціни.
Згідно з доповіддю, сотні мисливців за окупантами та застави використовували компанію під назвою CerCareOne для придбання даних про місцезнаходження для бездротових клієнтів на Sprint, AT&T та T-Mobile. Деякі з цих мисливців за вигодами користувались послугою десятки тисяч разів, при цьому одна фірма з заставою облігацій використовувала послугу не менше 18 000 разів.
Докази цього випливають із власної внутрішньої документації CerCareOne. Компанію закрили у 2017 році.
Ланцюг джерел для отримання даних про місцезнаходження користувача не був таким довгим. Компанія-агрегатор даних під назвою Locaid (пізніше LocationSmart, про яку ми писали раніше, коли йдеться про неправильне поводження з даними користувачів) отримує законний доступ до даних про місцезнаходження користувачів від бездротових операторів зв'язку. Такі компанії, як Locaid, продають доступ до цих даних іншим компаніям, які хочуть відслідковувати своїх працівників. Щоб отримати такий доступ, компанії типу Locaid повинні погодитись не використовувати дані місцеположення для будь-яких інших цілей.
CerCareOne в будь-якому випадку отримала доступ до даних Locaid, а потім перепродала їх безпосередньо мисливцям за призами та під заставу. У договорі мисливець за головами підписує для отримання даних про фізичну особу, в пункті чітко зазначено, що вони повинні зберігати саме існування CerCareOne в таємниці.
Мисливці за головами платять ціни до 1100 доларів за дані про місцезнаходження користувача.
У деяких випадках покупці мали доступ до точних даних GPS для користувача, а не лише до даних про з'єднання стільникової башти.
Щоб було зрозуміло, це не лише інформація про можливі місця проживання людини на основі їх зв’язку з різними вежами комірок. У деяких випадках мисливці за головами мали доступ до даних GPS, що дозволяло їм знати майже точне місцезнаходження людини в будь-який момент часу.
Про цю нову інформацію ми звернулися до AT&T, T-Mobile та Sprint. Поки що до нас повернувся лише Sprint, дуже коротка заява про те, що компанія вирішила припинити свої домовленості з агрегаторами даних на зразок Locaid / LocationSmart. Однак ми це чули раніше.
Ми оновимо цю статтю, якщо почуємося від будь-якого з інших бездротових операторів, причетних до цього скандалу.
