I denna 6 juni, 2017, fil foto, en man kollar sin telefon i en gränd i centrala Chicago. En säkerhetsforskare säger att ett webbplatsfel hos ett amerikanskt företag kunde ha tillåtit vem som helst att lokalisera nästan vilken mobiltelefon som helst i USA. Förfallet på LocationSmart, ett företag som samlar in realtidsdata på mobila trådlösa enheter, är den senaste för att belysa hur lite skydd konsumenter har från handel med data om sin plats. (AP Photo/G-Jun Yam, Fil)
Ett företag i Kalifornien bekräftade att ett fel på sin webbplats gjorde det möjligt för utomstående att lokalisera mobiltelefoner i USA utan tillstånd.
Men LocationSmart, som samlar in realtidsdata på mobila trådlösa enheter, säger att det inte har några bevis för att någon utnyttjade sårbarheten före den 16 maj, när en säkerhetsforskare på Carnegie Mellon upptäckte det.
Brenda Schafer, en LocationSmart vicepresident, sa via e-post i fredags att företaget fortfarande försöker verifiera att ingen platsdata har nåtts utan individuella prenumeranters medgivande. Hon svarade inte på frågor om LocationSmarts affärspraxis eller hur länge felet hade funnits.
Sekretessförespråkare säger att fallet är det senaste för att understryka hur lätt trådlösa operatörer kan dela eller sälja konsumenters geolokaliseringsinformation utan deras medgivande. LocationSmart-felet rapporterades först av den oberoende journalisten Brian Krebs.
LocationSmart verkar i en föga känd affärssektor som tillhandahåller data till företag för användning som att spåra anställda och skicka e-kuponger till kunder nära relevanta butiker. Bland kunderna LocationSmart identifierar på sin hemsida är American Automobile Association, FedEx och försäkringsbolaget Allstate.
New York Times rapporterade tidigare denna månad att ett företag som heter Securus Technologies tillhandahållit platsdata om mobilkunder till en före detta sheriff i Missouri som anklagats för att ha använt uppgifterna för att spåra människor utan domstolsbeslut. På onsdag, Moderkortet rapporterade att Securus servrar hade brutits av en hacker som stal användardata som mestadels tillhörde brottsbekämpande tjänstemän.
Securus kan ha erhållit sin platsdata indirekt från LocationSmart. Securus-tjänstemän sa till sen. Ron Wydens kontor, en Oregon-demokrat, att de fick uppgifterna från ett företag som heter 3Cinterative, sade Wyden talesman Keith Chu. LocationSmart listar 3Cinteractive bland sina kunder på sin hemsida.
Wyden sa att fallen LocationSmart och Securus understryker de "gränslösa farorna" som amerikaner står inför på grund av frånvaron av federal reglering om geolokaliseringsdata.
"En hacker kunde ha använt den här webbplatsen för att veta när du var i ditt hus så att de skulle veta när de skulle råna den. Ett rovdjur kunde ha spårat ditt barns mobiltelefon för att veta när de var ensamma, " sa han i ett uttalande.
En taleskvinna för Federal Communications Commission sa att LocationSmart-fallet hade hänvisats till myndighetens verkställighetsbyrå för utredning.
LocationSmart tog den felaktiga webbsidan offline på torsdag, en dag efter att Carnegie Mellon Universitys datavetenskapsstudent Robert Xiao upptäckte programvarufelet och meddelade företaget, Xiao berättade för Associated Press.
Felet "tillät vem som helst, var som helst i världen, att leta upp platsen för en amerikansk mobiltelefon, sa Xiao, en doktorandforskare. "Jag kunde slå in vilket 10-siffrigt telefonnummer som helst, " han lade till, "och jag kunde få vem som helst."
Webbsidan utformades för att låta besökare testa LocationSmarts tjänst genom att ange deras mobiltelefonnummer. Tjänsten skulle sedan ringa deras telefon eller skicka ett textmeddelande för att få samtycke, varefter den skulle visa telefonens plats – vanligtvis inom flera hundra meter.
Men Xiao hittade ett fel som gjorde att han kunde kringgå samtycke på bara 15 minuter. "Det skulle inte ta någon med tillräcklig teknisk kunskap mycket tid att hitta detta, " sa han. Han skrev ett manus för att utnyttja det.
Xiaos forskning visade att LocationSmart hade erbjudit tjänsten sedan åtminstone januari 2017.
LocationSmart utnämner sig själv som "världens största plats-som-service-företag." Den säger att den skaffar platsinformation från alla stora amerikanska och kanadensiska trådlösa företag, med 95 procents täckning.
Verizon talesman Rich Young sa att företaget har vidtagit åtgärder för att säkerställa att Securus inte längre kan begära information om företagets trådlösa kunder och att det granskar sin relation med LocationSmart. T-Mobile sa också att det har "åtgärdat problem som identifierades med Securus och LocationSmart."
Representanter för AT&T och Sprint sa att de inte tillåter delning av platsinformation utan individuellt medgivande eller en laglig order som en order.
Gigi Sohn, en före detta toppassistent på FCC under Obamas administration, nämnda användarplatsdata har varit i hög risk sedan förra året. Det var då kongressen upphävde FCC:s sekretessregler som hindrade mobila trådlösa operatörer från att dela eller sälja det utan kunders uttryckliga "opt-in"-samtycke.
"Åtminstone, konsumenter ska kunna välja om ett företag som LocationSmart överhuvudtaget ska ha tillgång till denna data, " Hon sa.
© 2018 The Associated Press. Alla rättigheter förbehållna.
