A LocationSmart é uma firma norte-americana que oferece diversos serviços relacionados a geolocalização de dispositivos móveis nos Estados Unidos. Um bug, encontrado por um pesquisador, revelou que a empresa não somente deixou vazar os dados de milhares de usuários como também coloca as quatro maiores operadoras dos país em investigações, pois elas estariam comercializando dados com grupos que não prezam exatamente pela segurança e privacidade.
O The New York Times descobriu que uma empresa de localização de dispositivos vinha vendendo e cedendo dados para a polícia
Bem, antes de chegar aos detalhes caso da LocationSmart, é preciso recapitular como a coisa toda surgiu. No dia 10 de maio, o The New York Times descobriu que a Securus Technologies, que também utiliza recursos de localização de dispositivos, vinha vendendo ou simplesmente cedendo as informações de consumidores para a polícia do Condado de Mississipi.
No dia 15 de maio, o ZDNet.com apontou que a Securus obteve essas listas junto à LocationSmart, que com ao comprar das própria AT&T, Sprint, T-Mobile e Verizon, que são impedidas fornecer esse conteúdo para autoridades, mas podem negociá-las, desde que não sejam expostos dados sensíveis e isso aconteça com rígidas políticas de privacidade.
Testes feitos com essas informações mostraram que é realmente possível encontrar em tempo real qualquer pessoa cadastrada nessas operadoras, inclusive com alta precisão. Para piorar, o Motherboard publicou nesta quarta-feira (17) uma matéria abordando a invasão de um hacker, que roubou 2,8 mil nomes de usuários, endereços, números de telefone e de senhas dos servidores da Securus.
A notícia gerou um grande desconforto junto ao governo e o senador democrata Ron Wyden protocolou na Federal Communications Commission (FCC), o equivalente à nossa Agência Nacional de Telecomunicações (Anatel), um pedido de investigação em torno da Securus e das próprias transações de dados, realizados pela AT&T, Sprint, T-Mobile e Verizon.
Pesquisador levou 15 minutos para descobrir bug no site da LocationSmart
Para conseguir uma demonstração grátis de como funciona o serviço da LocationSmart, basta você se cadastrar no site e consentir com as regras da plataforma, com uma suposta confirmação via mensagem de texto ou uma chamada telefônica. Contudo, em estudante do Instituto de Interação entre Humanos e Computadores da Universidade Carnegie Mellon, nos Estados Unidos, descobriu uma falha de vulnerabilidade no site da companhia em menos de 15 minutos.
Sua conclusão foi de que qualquer pessoa com um conhecimento um pouco acima do básico seria capaz de rastrear milhões de pessoas online sem que elas soubessem e gratuitamente. Não dá para saber ao certo quantos foram os atingidos e o “free trial” do site está desativado — mas estima-se que seja bastante gente, dado ao fato de que ela esteja em atividade desde 2011, pois ela atuava com outro nome até 2017.
O CEO e fundador do LocationSmart Mario Proietti assegura que eles próprios estão investigando o caso internamente. "Não cedemos dados. Disponibilizamos para fins legítimos e autorizados. O serviço é baseado no uso legítimo e autorizado de dados de localização que ocorrem apenas com o consentimento. Levamos a privacidade a sério, vamos analisar todos os fatos."
Já a Securus, pelo menos por enquanto, não responde aos pedidos de contato e não falou nada a respeito.
Operadoras se defendem
Obviamente que isso tudo mancha a reputação da provedoras envolvidas no caso. Cada uma delas respondeu ao KrebsOnSecurity. A começar pela AT&T, que falou a respeito por meio de seu porta-voz, Jim Greer, que garantiu não compartilhar dados de localização de um consumidor sem o seu consentimento ou um mandado judicial. “Se soubermos que um fornecedor não adere à nossa política, tomaremos as medidas adequadas.”
Operadoras dizem que seguem as recomendações de segurança e que não violaram políticas de privacidade
A T-Mobile afirma que adota as “melhores práticas” em seus negócios e segue as recomendações da CTIA, organização internacional sem fins lucrativos que monitora a indústria de telecomunicações. A empresa disse que, ao receber a carta do senador Ron Wyden, rompeu imediatamente as transações com as Securus. “Ainda estamos investigando o assunto”, adiantaram, sem citar a LocationSmart.
A Verizon se limitou a dizer que cumpre à fio suas políticas de privacidade e a Sprint explicou que sua relação com a Securus não envolve compartilhamento de dados e que vai responder às questões feitas por Wyden. “Para esclarecer, não compartilhamos nem vendemos informações confidenciais de consumidores a terceiros. Compartilhamos informações de gelocalização e identificação pessoal somente com o consentimento do cliente ou em resposta a uma solicitação legal, como uma ordem judicial.”
Várias entidades já começaram a se manifestar sobre até que ponto as operadoras têm invadido a privacidade dos dados dos usuários e começaram a questionar a comercialização das informações que elas possuem. O assunto ainda deve render bastante e em breve deveremos ter mais novidades a respeitos.
Fontes
Categorias