一家提供即时定位服务的公司 LocationSmart 泄漏了高达数百万民众的个资,更传出电信商大批销售此类资讯的消息。
LocationSmart 手机追踪服务,被公开展示其网站上的漏洞可以令使用者不经过任何同意即可取得大量其他人的即时位置。通常这样的功能只会开放给相关的执法机构,且卡内基美隆大学的研究员指出,LocationSmart 所存在的隐私漏洞,无论是何种手机操作系统或隐私设置都可以生效,民众无法单方面选择退出。
虽然此一漏洞已在 17 日被修补,但此事并未就这样结束,其合作伙伴 Securus 监狱通信服务公司被爆出可以借由 Location Smart 的管道即时获得各大电信商所拥有的位置资料,引发了国会关注。根据《纽约时报》的报导,一位警长曾以此途径,在未经过法院命令的核可下,获得个人资料,而更可怕的是,有骇客也透过此管道获得许多执法人员的资料。
民主党参议员 Ron Wyden 公开指责,LocationSmart 跟 Securus 的组合就是美国隐私法最大的漏洞,他在声明中强调,这可能让犯罪分子轻易得知民众何时不在家,或是处在偏僻地区,将助长犯罪行为。而发现该漏洞的研究员也称,这套系统几乎可以找到任何美国人的手机位置。
而 LocationSmart 也自称是全球最大的定位服务公司,可以从美国和加拿大所有主要电信商公司获得资讯,覆盖率高达 95%,可以非常快速的找到任何一支手机的位置。的确经实测在 15 秒内即可获得精确的位置传递,且正常状况下,仅会在缓存内待 2 分钟。但透过针对性的算法,即可任意利用这庞大的资料。
值得省思的是,今日 LocationSmart 与 Securus 所产生的疑虑,并非美国隐私法不够严格,而就是因为相当严格,所以才会想出这样间接的方式,透过 LocationSmart 与 Securus 的中介来绕过法规,取得原本规定电信商不可随意外漏的个人资料,而当初被起诉的警长,目前也未获罪。连续的几起事件恐怕还会继续发酵。
- LocationSmart API Vulnerability
- LocationSmart didn’t just sell mobile phone locations, it leaked them
- US cell carriers are selling access to your real-time phone location data
- How a free web demo exposed millions of Americans’ real-time locations
- Website flaw exposes real-time locations of US cellphones
(首图来源:shutterstock)
延伸阅读:
- Facebook 个资隐私意见不同,WhatsApp 首席执行官拟辞
- 史上最严个资保护法下月上路,Facebook 家族如何打这场仗?
- 个资是否被分享给剑桥分析?Facebook 提供查询网页
- LINE 传个资外泄疑虑,公司:并非事实