Empresa de vazamento de dados do telefone:nenhum registro de abuso de dados de localização
p Neste 6 de junho, 2017, foto do arquivo, um homem verifica seu telefone em um beco no centro de Chicago. Um pesquisador de segurança diz que uma falha no site de uma empresa dos Estados Unidos poderia ter permitido que qualquer pessoa localizasse quase todos os telefones celulares nos Estados Unidos. O lapso em LocationSmart, uma empresa que reúne dados em tempo real em dispositivos celulares sem fio, é o último a destacar a pouca proteção que os consumidores têm contra o tráfico de dados sobre sua localização. (AP Photo / G-Jun Yam, Arquivo)
p Uma empresa da Califórnia confirmou que uma falha em seu site permitia que estranhos identificassem a localização de telefones celulares nos Estados Unidos sem autorização. p Mas LocationSmart, que reúne dados em tempo real em dispositivos celulares sem fio, diz que não há evidências de que alguém tenha explorado a vulnerabilidade antes de 16 de maio, quando um pesquisador de segurança da Carnegie Mellon o descobriu.
p Brenda Schafer, um vice-presidente da LocationSmart, disse por e-mail na sexta-feira que a empresa ainda está tentando verificar se nenhum dado de localização foi acessado sem o consentimento individual dos assinantes. Ela não respondeu a perguntas sobre as práticas de negócios da LocationSmart ou há quanto tempo a falha existia.
p Os defensores da privacidade afirmam que o caso é o mais recente a ressaltar a facilidade com que as operadoras de telefonia móvel podem compartilhar ou vender informações de geolocalização dos consumidores sem seu consentimento. A falha do LocationSmart foi relatada pela primeira vez pelo jornalista independente Brian Krebs.
p A LocationSmart opera em um setor de negócios pouco conhecido que fornece dados a empresas para usos como rastreamento de funcionários e envio de cupons eletrônicos para clientes próximos a lojas relevantes. Entre os clientes que a LocationSmart identifica em seu site estão a American Automobile Association, FedEx e a seguradora Allstate.
p O New York Times noticiou no início deste mês que uma empresa chamada Securus Technologies forneceu dados de localização de clientes móveis a um ex-xerife do Missouri acusado de usar os dados para rastrear pessoas sem uma ordem judicial. Na quarta-feira, O Motherboard relatou que os servidores da Securus foram violados por um hacker que roubou dados do usuário que pertenciam em sua maioria a policiais.
p A Securus pode ter obtido seus dados de localização indiretamente do LocationSmart. Funcionários da Securus disseram ao gabinete do senador Ron Wyden, um democrata de Oregon, que obtiveram os dados de uma empresa chamada 3Cinterative, disse o porta-voz da Wyden, Keith Chu. LocationSmart lista 3Cinteractive entre seus clientes em seu site.
p Wyden disse que os casos LocationSmart e Securus ressaltam os "perigos ilimitados" que os americanos enfrentam devido à ausência de regulamentação federal sobre dados de geolocalização.
p "Um hacker poderia ter usado este site para saber quando você estava em sua casa para que soubessem quando roubá-lo. Um predador poderia ter rastreado o celular do seu filho para saber quando eles estavam sozinhos, "ele disse em um comunicado.
p Uma porta-voz da Comissão Federal de Comunicações disse que o caso da LocationSmart foi encaminhado ao departamento de fiscalização da agência para investigação.
p LocationSmart tirou a página da web defeituosa do ar na quinta-feira, um dia depois que o estudante de ciência da computação da Carnegie Mellon University, Robert Xiao, descobriu o bug do software e notificou a empresa, Xiao disse à Associated Press.
p O bug "permitia a qualquer um, em qualquer lugar do mundo, para procurar a localização de um telefone celular nos EUA, "disse Xiao, pesquisador doutorado. "Eu poderia digitar qualquer número de telefone de 10 dígitos, " ele adicionou, "e eu poderia conseguir a localização de qualquer um."
p A página da web foi projetada para permitir que os visitantes testem o serviço do LocationSmart digitando o número do seu celular. O serviço então ligaria para seu telefone ou enviaria uma mensagem de texto para obter consentimento, depois disso, ele exibia a localização do telefone - geralmente a algumas centenas de metros.
p Mas Xiao encontrou uma falha que lhe permitiu contornar o consentimento em apenas 15 minutos. "Não levaria muito tempo para alguém com conhecimento técnico suficiente descobrir isso, "disse ele. Ele escreveu um script para explorá-lo.
p A pesquisa de Xiao indicou que LocationSmart ofereceu o serviço pelo menos desde janeiro de 2017.
p A LocationSmart se autodenomina a "maior empresa de localização como serviço do mundo". Diz que obtém informações de localização de todas as principais empresas sem fio dos Estados Unidos e Canadá, com cobertura de 95 por cento.
p O porta-voz da Verizon, Rich Young, disse que a empresa tomou medidas para garantir que a Securus não possa mais solicitar informações sobre os clientes sem fio da empresa e que está revisando seu relacionamento com a LocationSmart. A T-Mobile também disse que "tratou de problemas que foram identificados com Securus e LocationSmart".
p Representantes da AT&T e Sprint disseram que não permitem o compartilhamento de informações de localização sem consentimento individual ou uma ordem legal, como um mandado.
p Gigi Sohn, um ex-assessor da FCC durante a administração Obama, disse que os dados de localização do usuário estão em alto risco desde o ano passado. Foi quando o Congresso revogou as regras de privacidade da FCC que impediam as operadoras de celular de compartilhá-lo ou vendê-lo sem o consentimento expresso "opt-in" dos clientes.
p "No mínimo, os consumidores devem poder escolher se uma empresa como a LocationSmart deve ter acesso a esses dados, " ela disse. p © 2018 Associated Press. Todos os direitos reservados.