Motherboard 透露,AT&T,T-Mobile 和 Sprint 正在出售他们客户的实时位置数据,这些数据通过复杂的公司网络传播,直到最终落入赏金猎人的手中。主板还可以从赏金猎人手中以300美元的价格在黑市上购买到 T-Mobile 手机的实时位置。 大约250名赏金猎人和相关企业可以访问 AT&T,T-Mobile 和 Sprint 客户位置数据,其中一家保释金公司使用手机定位服务超过18,000次,其他人使用它高达数千或数万次,根据从一家名为CerCareOne的公司获得的内部文件,这是一家现已解散的位置数据销售商,这些文件不仅列出了有权访问数据的公司,还列出了这些公司所针对的特定电话号码。 在某些情况下,被销售的数据比上个月曝光的数据更敏感,主板估计是基于手机连接的信号塔的位置。CerCareOne 出售了信号塔数据,还向赏金猎人出售了高灵敏度和准确的 GPS 数据; 这意味着可以高度准确地定位某人,以便了解他们在建筑物内的位置。根据主板获得的使用条款文件,该公司通过让客户同意“保持 CerCareOne.com的存在保密”,以近乎完全秘密的方式运营了超过5年。 据熟悉 CerCareOne 运营的两位独立消息人士称,其中一些赏金猎人随后将位置数据转售给了未经授权处理这些数据的人。 这一消息显示,公民的敏感位置数据所产生的利益对于赏金猎人来说是多么的广泛。这种易于访问性大大增加了滥用的风险。 “这个丑闻不断恶化。运营商向客户保证,位置跟踪滥用是孤立事件。但是。现在看来,数百人可以跟踪我们的手机,并且他们已经这么做了多年,“俄勒冈州参议员 Ron Wyden 说,“这不仅仅是一种疏忽 — 这是对美国人安全和保障的公然无耻。” 至少在2012年至2017年底关闭之前,CerCareOne 一直在允许赏金猎人和保释代理人找到手机的实时位置。据熟悉该公司的消息人士称,该公司有时每部手机的收费高达1,100美元。 与 Motherboard 之前调查的公司一样,CerCareOne 的实时位置数据首先从电信公司流出,然后流向一个名为 Locaid 的所谓位置聚合器。从那里,Locaid 将数据访问权出售给了许多不同的公司,包括 CerCareOne,后者又将其出售给自己的客户。Locaid 于2015年被一家名为 LocationSmart 的公司收购。主板获得的文件显示,LocationSmart 在获得 Locaid 后继续向 CerCareOne 出售数据,而 LocationSmart 向主板确认了该数据。 通常,CerCareOne 的电话定位服务 — 业内称为电话 ping — 使用来自手机信号塔的数据,并为使用这些数据的赏金猎人提供谷歌地图风格的界面。 并且,根据两个独立消息来源提供的文件和截图显示,CerCareOne 客户可获得的一些数据包括手机的“辅助 GPS”或 A-GPS 数据。A-GPS 使用手机的 GPS 芯片以及从电信网络收集的信息来定位电话。根据联邦通信委员会的电信文件,它用于定位在紧急情况下拨打911的手机,它比单独的手机 GPS 芯片运行得更快,后者有时可能需要几分钟才能连接到卫星。 Sprint 发言人没有直接回答该公司是否曾销售过 A-GPS 数据。 “芯片由设备制造商插入,每个主要运营商都提供包含芯片的设备。事实上,FCC要求设备启用GPS,“该公司在一封电子邮件中说,“这是为客户提供共享服务,支持GPS的地图,路边援助和9–1–1定位服务等服务的必要步骤。” CerCareOne 的电话跟踪服务并不是赏金猎人和保释代理人的一次性工具。通过主板获得的特定客户电话 ping 列表长达450页,在一年多的活动中有超过18,000个个人电话位置请求。发起ping的保释金公司没有回答媒体的问题。 另一组数据长度超过250页,涵盖大约10,000个电话ping。另一份不同赏金猎人活动的清单包括不到一年内的近1,000个电话位置请求; 第三个超过4500个ping。 根据文件中包含的时间戳,位置请求从2012年延长到2017年,有些手机在几分钟、几小时和几天内被连续多次快速定位。 “这种滥用的规模令人愤慨,”电子前线基金会竞选组织网络安全主管 Eva Galperin 在一封电子邮件中告诉 Motherboard。 两位消息人士称,目标手机没有收到任何短信警告他们正在被跟踪。这样就可以在没有目标知情或同意的情况下跟踪电话。 “这是一个国家安全和个人安全问题,”联邦通信委员会委员 Jessica Rosenworcel 在一封电子邮件中告诉 Motherboard。“联邦通信委员会需要紧急行动。自5月以来,已有媒体报道称出售消费者位置数据。“ 无论是跟踪用户一举一动的主要智能手机操作系统,还是向对冲基金销售用户位置数据的天气应用程序,或允许中间人向赏金猎人出售智能手机位置数据的手机提供商,我们通常会看到公司滥用消费者的信任,然而我们目睹相关机构 — 联邦通信委员会和联邦贸易委员会 — 根本没能解决这些问题。 EFF 的 Galperin 表示,“很高兴该公司被关闭,但我想知道我们还有多少个 CerCareOnes。” Hundreds of Bounty Hunters Had Access to AT&T, T-Mobile, and Sprint Customer Location Data for Years, Documents show that bail bond companies used a secret phone tracking service to make tens of thousands of location requests. Galperin from the EFF said that she’s “glad that the company is shut down, but that just leaves me to wonder how many more CerCareOnes we have out there.”
0 Comments
Leave a Reply. |