T-Mobile, Sprint e AT&T stanno vendendo l’accesso ai dati di posizione dei loro clienti, e questi dati stanno finendo nelle mani dei cacciatori di taglie e altre persone non autorizzate, che riescono in questo modo a rintracciare la maggior parte dei telefoni del paese.

 

 

Ho dato a un cacciatore di taglie un numero di telefono. Si era offerto di geolocalizzare un telefono per me, usando un servizio losco, poco chiaro, non destinato ai poliziotti, ma a privati e imprese. Armato solo con il numero di telefono e qualche centinaio di dollari, ha detto che poteva trovare la posizione attuale della maggior parte dei telefoni negli Stati Uniti.

Il cacciatore di taglie ha mandato il numero al suo stesso contatto, che avrebbe tracciato il telefono. Il contatto ha risposto con uno screenshot di Google Maps, contenente un cerchio blu che indica la posizione attuale del telefono, approssimativa di qualche centinaio di metri.

Più nello specifico, lo screenshot ha mostrato una location in un particolare quartiere solo a un paio di isolati da dove si trovava l’obiettivo. Il cacciatore aveva trovato il telefono e ha fatto tutto questo senza schierare uno strumento di hacking o avere una conoscenza precedente del luogo in cui si trova il telefono. Lo strumento di monitoraggio si basa sui dati di localizzazione in tempo reale venduti ai cacciatori di taglie che in definitiva provenivano da alcune società, tra cui t-Mobile e Sprint. Queste capacità di sorveglianza vengono talvolta vendute attraverso reti di passaparola.

Considerando che le agenzie delle forze dell’ordine possono rintracciare i telefoni con un mandato per i fornitori di servizi, o fino a poco tempo fa tramite altre aziende che vendono dati di localizzazione come uno chiamato Securus, almeno una società, chiamata microbilt, sta vendendo la geolocalizzazione del telefono con poca supervisione a una diffusione di diverse industrie private, che vanno dai venditori di auto e dai gestori di proprietà ai garanti della cauzione e ai cacciatori di taglie, secondo fonti familiari con i prodotti dell’azienda e i documenti aziendali ottenuti dalla scheda madre. Questa capacità di spionaggio viene anche rivenduta ad altri sul mercato nero a persone che non sono autorizzati dall’azienda ad usarlo.

 

L’ indagine mostra come le reti mobili esposte e i dati che generano siano, lasciando loro aperti alla sorveglianza da cittadini comuni, stalker e criminali. L’ inchiesta dimostra anche che un’ampia varietà di aziende può accedere ai dati della localizzazione del cellulare, e che le informazioni non vengono salvaguardate per proteggere quei dati.

Il tuo cellulare è in costante comunicazione con le torri cellulari vicine, quindi il tuo provider di telecomunicazioni sa dove effettuare le chiamate e i testi. Da questo, le aziende di Telecom lavorano anche per conoscere la posizione approssimativa del telefono in base alla sua vicinanza a quelle torri.

 

Anche se molti utenti potrebbero non essere a conoscenza della pratica, le aziende di Telecom negli Stati Uniti vendono l’accesso ai dati della posizione dei loro clienti ad altre aziende, chiamate location aggregatori, che poi la vendono a clienti e industrie specifiche. L’ anno scorso, un aggregatore di location chiamato locationsmart ha affrontato aspre critiche per la vendita di dati che alla fine sono finiti nelle mani di securus, un’azienda che ha fornito il tracking telefonico a forze di basso livello senza richiedere un mandato. Locationsmart ha esposto anche gli stessi dati che stava vendendo attraverso un pannello del sito web di buggy, significa che chiunque potrebbe geolocalizzare quasi qualsiasi telefono negli Stati Uniti.

C’è una catena di fornitura complessa che condivide alcuni dei dati più sensibili degli utenti del cellulare americano, con i classifiche potenzialmente inconsapevoli di come i dati vengono utilizzati dall’utente finale. Le aziende finanziarie usano i dati della localizzazione telefonica per individuare le frodi; le aziende di assistenza stradale lo usano per localizzare clienti bloccati. At&T, ad esempio, ha detto alla scheda madre che l’utilizzo dei dati dei suoi clienti da parte dei cacciatori di taglie va esplicitamente contro le politiche dell’azienda, sollevando domande su come la società ha permesso la vendita a questo scopo in primo luogo.

 

Nel caso del telefono che abbiamo rintracciato, sei entità diverse avevano un potenziale accesso ai dati del telefono. T-mobile condivide i dati di localizzazione con un aggregatore chiamato Zumigo, che condivide informazioni con microbilt. Microbilt ha condiviso quei dati con un cliente usando il tracciamento del cellulare. Il cacciatore di taglie ha poi condiviso queste informazioni con una fonte dell’industria della cauzione, che l’ha condivisa con la scheda madre.

 

Il CTIA, un gruppo di commercio di telecomunicazioni di cui At & T, sprint, e T-Mobile sono membri, ha linee guida ufficiali per l’utilizzo dei cosiddetti ” servizi basati sulla localizzazione ” che ” si basano su due principi fondamentali: avviso utente e Consenso,”. Le aziende di Telecom e gli aggregatori di dati richiedono ai propri clienti di ottenere il consenso dalle persone che vogliono rintracciare, ma è chiaro che questo non sempre avviene.

 

Microbilt acquista l’accesso ai dati di localizzazione da un aggregatore chiamato Zumigo e poi lo vende ad un numero vertiginoso di settori, tra cui i padroni di casa per portata i potenziali affittuari; i venditori di veicoli a motore, e altri che stanno conducendo controlli di credito. Armato di solo un numero di telefono, il prodotto “Mobile device verifica” di microbilt può restituire il nome e l’indirizzo completo di un target, geolocalizza un telefono in un caso individuale, oppure operare come servizio di monitoraggio continuo. Puoi impostare il monitoraggio con il controllo delle settimane, dei giorni e anche delle ore che la location su un dispositivo è controllata così come le date di inizio e fine del monitoraggio.

In posa come potenziale cliente, la scheda madre ha esplicitamente chiesto ad un microbilt customer support staff se l’azienda ha offerto la geolocalizzazione telefonica per i garanti della cauzione. Poco dopo, un altro membro del personale inviato con una lista di prezzi-localizzare un telefono può costare poco di 4.95 $ ciascuno se alla ricerca di un numero basso di dispositivi. Quel prezzo diventa ancora più economico, in quanto il cliente acquista la capacità di rintracciare più telefoni. Ottenere aggiornamenti in tempo reale sulla posizione di un telefono può costare intorno ai 12.95. Dollari.

È già abbastanza brutto che l’accesso ai dati di geolocalizzazione del telefono altamente sensibili sia già venduto ad una vasta gamma di industrie e imprese. Ma c’è anche un mercato sotterraneo che la scheda madre ha usato per geolocalizzare un telefono-uno in cui i clienti microbilt rivendono il loro accesso ad un profitto, e con una minima supervisione.

“Blade Runner, l’iconico film sci-FI, è ambientato nel 2019. Ed eccoci qui: c’è un mercato nero non regolamentato dove i cacciatori di taglie possono acquistare informazioni su dove siamo, in tempo reale. Non c’è bisogno di essere un replicante per avere paura delle conseguenze,” Thomas Rid, professore di studi strategici presso la Johns Hopkins University, ha raccontato in una chat online.

 

La fonte dell’industria della cauzione ha detto che il suo intermediario ha usato microbilt per trovare il telefono. Questo intermediario ha addebitato 300 dollari, un notevole markup sul solito prezzo microbilt. Lo screenshot di google maps fornito alla scheda madre della posizione del telefono target comprendeva anche le sue coordinate approssimative di longitudine e latitudine, e una gamma di quanto è accurata la geolocalizzazione del telefono: 0.3 km, o poco meno di 500 metri. Potrebbe non essere necessariamente sufficiente per geolocalizzare qualcuno in un edificio specifico in una zona popolata, ma può certamente individuare un particolare borgo, città, o quartiere.

 

In altri casi di geolocalizzazione telefonica si fa tipicamente con il consenso dell’obiettivo, forse inviando un messaggio di testo l’utente deve rispondere deliberatamente a, segnalando che accettano la loro posizione in seguito. Questo può essere fatto nel precedente esempio di assistenza stradale o quando un’azienda monitora la sua flotta di camion. Ma quando la scheda madre ha testato il servizio di geolocalizzazione, il telefono target non ha ricevuto nessun avviso che sia stato rintracciato.

 

La fonte di cauzione che in origine ha allertato microbilt alla scheda madre ha detto che i cacciatori di taglie hanno usato servizi di geolocalizzazione telefonica per scopi non lavorativi, come il tracking delle loro fidanzate. La scheda madre non è stata in grado di identificare un caso specifico di questo accaduto, ma gli stalker domestici hanno ripetutamente usato la tecnologia, come il malware del cellulare, per rintracciare i coniugi.

 

Un portavoce Microbilt ha dichiarato che l’azienda richiede che chiunque utilizzi i suoi servizi di verifica del dispositivo mobile per la prevenzione delle frodi deve prima ottenere il consenso del consumatore. Microbilt ha anche confermato di aver trovato un esempio di abuso sulla sua piattaforma-il nostro telefono ping.

 

“La richiesta è arrivata tramite un’agenzia di stato sotto licenza che scrive in circa 100 milioni di dollari in obbligazioni all’anno e passata tutta davanti credentialing sotto la pretesto che la location era stata verificata per mitigare l’esposizione finanziaria legata ad un prestito obbligazionario in esame per il presentato Consumatore,” microbilt ha detto in una dichiarazione di posta elettronica. In questo caso, “Agenzia Statale autorizzata” si riferisce ad una società privata di Bond Bond, scheda madre confermata.

“Di conseguenza, microbilt non era a conoscenza del fatto che le sue condizioni d’uso fossero state violate dall’individuo canaglia che ha presentato la richiesta sotto falso pretesto, non approva tali casi di uso, e ha una chiara politica che tali violazioni si tradurrà in perdita di accesso A tutti i servizi microbilt e terminazione dell’accordo di fine utente della parte richiedente,” microbilt aggiunto. ” dopo aver indagato sul presunto abuso e sull’apprendimento della violazione del nostro contratto, abbiamo chiuso l’accesso del cliente ai nostri prodotti e non saranno ammissibili al reinserimento in base a questa violazione.”

 

Zumigo ha confermato che è stata l’azienda che ha fornito la sede del telefono a microbilt e ha difeso le sue pratiche. In una dichiarazione, zumigo non sembrava aver preso in considerazione la pratica di fornire dati che alla fine sono finiti con cacciatori di taglie autorizzati, ma ha scritto, ” L’ accesso illegale ai dati è un evento sfortunato in quasi ogni industria che si occupa dei dati dei consumatori o dei dipendenti, Ed è impossibile rilevare un frodatore, o un cliente canaglia, che chiede i dati di localizzazione dei propri dispositivi mobili, quando viene fornito il consenso richiesto. Tuttavia, zumigo prende provvedimenti per proteggere la privacy fornendo una misura di distanza (circa 0.5-1.0 km) da un indirizzo effettivo.” zumigo ha detto alla scheda madre che ha tagliato l’accesso ai dati di microbilt. Nel caso della scheda madre, il telefono geolocalizzato con successo era su t-Mobile.

 

“Prendiamo molto sul serio la privacy e la sicurezza delle informazioni dei nostri clienti e non tolleriamo nessun uso abusivo dei dati dei nostri clienti,” un portavoce t-Mobile ha detto in una dichiarazione di posta elettronica. “Mentre t-Mobile non ha un rapporto diretto con microbilt, il nostro venditore zumigo stava lavorando con loro e ha confermato con noi che hanno già chiuso tutta la trasmissione dei dati t-Mobile. T-Mobile ha anche bloccato l’accesso ai dati della posizione del dispositivo per qualsiasi richiesta presentata da zumigo per conto di microbilt come precauzione aggiuntiva.” La documentazione del prodotto di microbilt suggerisce che il servizio di localizzazione telefonica funziona su tutte le reti mobili, comunque l’intermediario non è stato in grado o non è disposto a condurre una ricerca di un dispositivo .

 

Sprint ha detto in una dichiarazione che “Proteggere la privacy e la sicurezza dei nostri clienti è una priorità assoluta, e siamo trasparenti su questo nella nostra normativa sulla privacy […] sprint non ha un rapporto diretto con microbilt. Se si determina che qualcuno dei nostri clienti fa e ha violato i termini del nostro contratto, faremo un’azione adeguata in base a quei risultati.” sprint non sarebbe i contorni del suo rapporto con microbilt.

Queste dichiarazioni mi sembrano molto familiari. Quando il New York Times e il senatore Ron Wyden hanno pubblicato i dettagli di securus l’anno scorso, lo studio che stava offrendo geolocalizzazione alle forze dell’ordine di basso livello senza un mandato, il classifiche ha detto che stavano prendendo misure extra per assicurarsi che i dati dei loro clienti non venissero maltrattati Di nuovo. Verizon ha annunciato che stava per limitare l’accesso ai dati alle aziende che non lo usano per scopi legittimi. T-Mobile, sprint, e a & T seguito tuta poco dopo con promesse simili.

 

Dopo la pressione di Wyden, il ceo di t-Mobile John Legere ha twittato nel giugno dello scorso anno “Ho valutato personalmente questo problema e ho promesso che @tmobile non venderà i dati della localizzazione dei clienti a loschi intermediari.” “Sembra che queste promesse siano state poco più che spam senza valore nelle caselle di posta dei loro clienti.”

 

L’ anno scorso, la scheda madre ha riferito su un’azienda che in precedenza offriva la geolocalizzazione telefonica ai cacciatori di taglie; qui microbilt sta operando anche dopo un’ondata di sdegno da parte dei decisori politici. Nella sua dichiarazione alla scheda madre di lunedì, T-Mobile ha detto che ha quasi finito il processo di chiusura dei suoi accordi con gli aggregatori di location. “Ogni grande vettore wireless si è impegnato a porre fine a questo tipo di condivisione dei dati dopo che ho esposto questa pratica l’anno scorso. Ora sembra che queste promesse siano state poco più che spam senza valore nelle caselle di posta dei loro clienti,” Wyden ha detto alla scheda madre in una dichiarazione. Wyden sta proponendo una normativa per salvaguardare i dati personali. A causa dello spegnimento del governo in corso, la Commissione Federale per le comunicazioni (fcc) non è stata in grado di fornire una dichiarazione.

 

Continua la vendita dei dati di localizzazione, un incubo per la sicurezza nazionale e la sicurezza personale di chiunque con un telefono, aggiunge Wyden.

Quando gli stalker, le spie, e i predatori sanno quando una donna è sola, o quando una casa è vuota, o dove un funzionario della casa bianca si ferma dopo il lavoro, le possibilità di abuso sono infinite.”

 

 

Scopri come localizzare i profili anonimi su Grindr

Revenge Porn, quando i ricatti si fanno in rete