Роберт Сяо, специалист по цифровой безопасности из университета Карнеги-Меллона, в ходе изучения нового программного инструмента от компании LocationSmart обнаружил баг, который может привести к колоссальной утечке конфиденциальных данных. Скандал может разгореться нешуточный – честный хакер де-факто показал, что операторы связи в погоне за прибылью пошли на преступление и стали торговать персональными данными своих клиентов.
Приложение от LocationSmart, которое оказалось в центре скандала, позволяет по косвенным данным определять местоположение телефона с SIM-картой каждого из четырех ведущих операторов связи США: AT&T, Sprint, T-Mobile и Verizon. Вычисление ведется в тайне от владельца телефона, на основании пассивного анализа данных с вышек сотовой связи и рестрансляторов. Чтобы отправить запрос, нужно авторизоваться – приложение предназначено для узкой категории лиц.
Сяо воспользовался демо-версией с сайта LocationSmart, изучил структуру веб-запросов и перехватил управление, сумев обойти процедуру авторизации. После чего провел с десяток экспериментов по определению местоположения телефонов своих знакомых с их согласия – точность составила от 100 до 500 м. И никто ни о чем не забеспокоился, пока исследователь сам не обнародовал описание уязвимости и своих действий.