位置數據公司LocationSmart被曝存漏洞:不法分子可輕易獲取公民位置信息
成立于1995年的美國位置數據公司LocationSmart近日被卷入了一場涉嫌泄露公民位置信息的風波。
據悉,LocationSmart公司的核心技術,是通過與美國四大運營商(AT&T,Sprint,T-Mobile或Verizon)的合作,基于通信基站以三角測量等方法,解析用戶手機所在的大概位置,進而獲得用戶的實時位置信息;LocationSmart公司會將這些解析出來的用戶位置信息提供給需要的客戶,其業務覆蓋范圍目前已囊括商業營銷、資產追蹤、員工監管、警務追查等領域。
LocationSmart公司一直以來都在做出承諾,他們不會泄露公民隱私或者濫用公民的實時位置數據,即便公民處于他們的服務當中,也會被提前告知公民是否許可提供當前的位置信息;如果面向政府或警務的犯人監管,通常也會有法院文件的授權文書,允許警務人員合法地對犯人實施位置監控。然而這一次,問題還是出現在他們所提供的服務當中。
根據網絡安全博客KrebsOnSecurity的報道,LocationSmart公司向客戶提供實時獲取公民位置信息的API存在著漏洞,對任何發現該隱患的開發者或黑客來說,他們可以無需經過授權許可,就能在幾秒內獲取任何公民的實時位置,其精度范圍可以達到幾百米左右。
而KrebsOnSecurity博客獲得此次信息的來源,由卡內基梅隆大學的安全研究員羅伯特·肖(Robert Xiao)提供,羅伯特在其個人網站中發文指出,LocationSmart向公眾提供了一個試用頁面(原鏈接地址為:www.locationsmart.com/try/),任何人都可以在該頁面輸入一個手機號碼,當該號碼的主人同意位置調用請求(通過短信或電話進行確認)后,該號碼主人的實時位置就能回傳到這個試用頁。
可輕松繞過許可的腳本代碼
但羅伯特表示,手機號碼主人對于位置獲取請求的許可環節,可以被一段腳本代碼輕松繞過。一旦該腳本被執行,意味著幾乎全美的公民實時位置隱私,都將暴露無遺;特別是對于不法分子而言,他們可以掌握某些目標人群的實時位置,并帶去極大的人身威脅。
不過,在這一事件被第一時間披露之后,LocationSmart公司就關閉了那個試用頁面,其創始人兼CEO馬里奧·普羅耶蒂(Mario Proietti)公開表示,他們已經著手調查此事,并再次聲明用戶的位置數據會通過授權后才可以被合法使用。
Securus的平臺
但這樣的解釋并不意味著LocationSmart公司能馬上獨善其身,隱私信息被濫用的陰云,不久前就已經將他們的合作伙伴——另一家位置數據服務公司Securus Technologies也牽扯其中。
克里·哈奇森
根據紐約時報于5月10日的報道稱,來自美國密蘇里州密西西比縣的一位前警長克里·哈奇森(Cory Hutcheson)被指控使用Securus公司提供的私有服務來監視公民及其他同僚的手機,并且這樣的行為沒有獲得法院的文書許可。據悉該服務同樣可以在未經許可的情況下,數秒內獲取被監視手機的所在位置。報道還指出,在2014年至2017年間,哈奇森至少使用過11次該服務,其使用的對象,包括了一位法官,以及國家公路巡警隊的若干成員。不過,哈奇森去年因為另外一件事被解雇了。
Securus公司是全美數以千計的監獄以及警務部門對嫌犯進行有效監視和追蹤的技術與服務的供應商。例如此前有吸毒女性從戒毒所出逃后,被懲教人員用Securus公司的手機位置追蹤技術迅速找到;此外還有警方使用該服務將殺人嫌犯鎖定在了10米左右的范圍內。要知道,負責給Securus公司提供手機實時位置數據的公司,實際上就是LocationSmart公司。
因此,除了KrebsOnSecurity和羅伯特所共同披露的事件外,Securus公司和LocationSmart公司都很難撇清他們很早以前就已經開辟后門程序給一些人或組織的嫌疑。
盡管哈奇森當時如何非法獲取公民和同僚位置信息的事件仍在調查之中,但Securus官方宣稱,在給客戶提供公民或者嫌犯的位置信息時,他們都需要客戶必須出示相應的許可文書,或者法律文件。
不過,據紐約時報的報道稱,一位來自俄勒岡州的民主黨參議員在遞交給聯邦通信委員會的一封信件中表示,Securus公司強調他們有文書或法律文件就可以提供這樣的服務,仍是不可取的,因為通訊運營商同樣有責任采取措施保障公民的隱私不被泄露和濫用。
而Securus公司作為一家成立于1986年的老牌位置服務公司,其面向犯人追蹤的核心業務早已開展,包括位置獲取的相關流程在各個使用單位已經根深蒂固,因此想要進一步提高對公民隱私的保護,確保不被非法竊取和利用,仍有待于企業間的深入合作,甚至是從立法層面的協調。
針對LocationSmart公司和Securus公司此次被曝出的事件,美國四大網絡運營商們的態度也趨于一致:如果客戶(公民)的隱私數據存在著被濫用的現象,他們將采取適當的行動予以制止。當前階段,運營商們已經在就Securus公司的問題展開了詳細的調查。
Bigemap GIS Office 國產基礎軟件
Bigemap GIS Office是一個全面且易于使用的國產化基礎軟件,為用戶提供數據處理、編輯、數據分析、集成以及可視化呈現的綜合數據集平臺。支持上百種數據格式:shp/kml/kmz/dwg/dxf/gpx/csv/excel/txt/tiff/geotiff/osgb/mbtiles/tiles等,對數據流轉、嵌入、融合、以及更多地為用戶提供數據的增強處理及多種分析工具。在不同場景不同行業下支持坐標系轉換CGCS2000/WGS84/Xi’an80/Beijing54/UTM等多種投影互轉互換、支持專題地圖、大數據加載、航拍影像、矢量數據、柵格數據的導入導出、瓦片切片及地圖服務發布。
了解詳情>>
在線客服(直接聊)