Aktualizace č. 2, 8. února 2019 (10:15 dop. ET):Dnes ráno jsme od AT&T slyšeli o skandálu s údaji o poloze popsaném níže. AT&T také říká, že končí všechna přidružení ke službám agregátorů polohy:
Nevíme o žádném zneužití této služby, které skončilo před dvěma lety. Již jsme se rozhodli vyloučit všechny služby agregace polohy - včetně služeb se zřetelným přínosem pro spotřebitele - po hlášení zneužití jinými službami určování polohy zahrnujícími agregátory.
To znamená, že dva ze tří zúčastněných dopravců odpověděli (Sprint nám dříve řekl, že končí její přidružení k agregátorům dat, viz níže).
Zde je prohlášení společnosti T-Mobile v plném rozsahu:
Byli jsme průhlední, že ukončujeme všechny naše služby agregátorů polohy a tímto procesem jsme téměř hotovi. Pracujeme na jeho zodpovědném ukončení, které nebude mít dopad na zákazníky, kteří tyto služby využívají například pro pohotovostní pomoc. Bereme ochranu soukromí a zabezpečení našich zákazníků vážně a jako první poskytovatel bezdrátových služeb jsme se zavázali ukončit tyto služby do března.
K tomuto článku přidáme druhou aktualizaci, pokud se dozvíme AT&T.
Původní článek, 7. února 2019 (06:01 PM ET):V lednu,Základní deska zveřejnil článek o bombardování, který popisoval, jak lovci odměn mohou snadno získat údaje o poloze uživatele smartphonu zakoupením informací z neblahých zdrojů. Tyto zdroje zase získávají informace přímo od tří ze čtyř největších bezdrátových dopravců v zemi.
V tomto článku,Základní deska novinář podrobnosti, jak zaplatili odměnu lovce 300 $, aby našli svůj telefon, což lovec udělal velmi snadno.
Bezdrátové operátory v reakci na tento zjevně ignorující soukromí uživatelů uvedly, že tyto situace jsou neobvyklé a představují okrajový problém.
Nyní, o měsíc později,Základní deska zveřejnil nový článek o stejném tématu, tentokrát je jasné, že tento problém je mnohem, mnohem větší, než jsme si původně mysleli.
Byly stovky lidí, kteří si kupovali údaje o uživateli za desítky tisíc za relativně nízké ceny.
Podle zprávy stovky organizací lovců odměn a kaucí používaly společnost CerCareOne k nákupu údajů o poloze pro bezdrátové zákazníky ve Sprint, AT&T a T-Mobile. Někteří z těchto lovců odměn využívali službu desítky tisíckrát, přičemž jedna firma poskytující kauci využila tuto službu nejméně 18 000krát.
Důkazem toho je vlastní interní dokumentace společnosti CerCareOne. Společnost byla v roce 2017 uzavřena.
Řetězec zdrojů pro získávání údajů o poloze uživatele nebyl tak dlouhý. Společnost na agregaci dat s názvem Locaid (později LocationSmart, o které jsme již psali dříve, pokud jde o nesprávné zacházení s uživatelskými daty), získává legálně přístup k datům o poloze uživatele od bezdrátových operátorů. Společnosti jako Locaid prodávají přístup k těmto datům dalším společnostem, které chtějí sledovat své zaměstnance. Aby bylo možné získat tento přístup, společnosti jako Locaid musí souhlasit s tím, že nebudou používat lokalizační údaje pro žádný jiný účel.
Společnost CerCareOne přesto získala přístup k údajům společnosti Locaid a poté je znovu prodala přímo lovcům odměn a firmám poskytujícím kauci. Ve smlouvě by nájemný lovec podepsal získání údajů o jednotlivci, doložka jasně uvádí, že mají udržovat samotnou existenci CerCareOne v tajnosti.
Lovci odměn by za údaje o poloze uživatele platili až 1100 USD.
V některých případech měli kupující přístup k přesným údajům GPS pro uživatele, nejen k datům připojení k věži.
Jasně, nejedná se pouze o informace o možném pobytu osoby na základě jejich spojení s různými buněčnými věžemi. V některých případech měli lovci odměn přístup k údajům GPS, což jim umožnilo zjistit téměř přesnou polohu osoby, která se v daném okamžiku nacházela.
O těchto nových informacích jsme oslovili AT&T, T-Mobile a Sprint. Pouze Sprint se k nám zatím vrátil, s velmi krátkým prohlášením, že společnost se rozhodla ukončit své dohody s agregátory dat, jako je Locaid / LocationSmart. To jsme však už slyšeli.
Budeme tento článek aktualizovat, pokud budeme slyšet zpět od ostatních bezdrátových operátorů zapojených do tohoto skandálu.
