Уязвимость на сайте LocationSmart раскрывала данные о передвижениях миллионов американцев
Простая ошибка на сайте позволяла злоумышленникам следить за местоположениями 200 млн жителей США и Канады.
Как на днях сообщал портал SecurityLab, крупнейшие операторы связи США продают данные о местоположении своих абонентов в реальном времени частной компании LocationSmart. В свою очередь, LocationSmart продает эти данные заинтересованным лицам. Как оказалось, на сайте компании была обнаружена уязвимость , позволяющая хакерам следить за передвижениями миллионов американцев без их ведома.
Сайт LocationSmart предлагает специальную услугу «try-before-you-buy», позволяющую потенциальным покупателям проверить достоверность данных прежде, чем их купить. Для этого потенциальный покупатель обязан отправить абоненту одноразовое сообщение с целью получить от него разрешение на использование данных о его местоположении. Тем не менее, по данным журналиста Брайана Кребса, уязвимость на сайте LocationSmart позволяла любому желающему отслеживать местоположения пользователей без какого-либо разрешения.
Как пояснил специалист Университета Карнеги-Меллона Роберт Сяо (Robert Xiao), простейшая ошибка на сайте позволяла пропустить шаг, предусматривающий обязательное получение согласия пользователя, и перейти непосредственно к геолокационным данным.
Сяо частным образом сообщил LocationSmart об уязвимости, и страница «try-before-you-buy» была отключена. По словам исследователя, уязвимость могла привести к утечке данных о местоположении порядка 200 млн жителей США и Канады.