Actualització # 2, 8 de febrer de 2019 (10:15 ET):Ens hem assabentat de AT&T aquest matí sobre l’escàndol de dades d’ubicació descrit a continuació. AT&T també diu que està acabant totes les associacions amb serveis d'agregador d'ubicacions:
No coneixem cap mal ús d’aquest servei que va acabar fa dos anys. Ja hem decidit eliminar tots els serveis d’agregació d’ubicacions (inclosos els que tenen clars avantatges per al consumidor) després dels informes de mal ús d’altres serveis de localització que impliquen agregadors.
Això vol dir que dos dels tres operadors implicats van emetre respostes a (Sprint ens deia abans que estava acabant les seves associacions amb agregadors de dades, vegeu més avall).
Aquí teniu la declaració de T-Mobile completament:
Hem estat transparents que estem acabant amb tots els nostres serveis d’agregador d’ubicacions i gairebé acabem amb aquest procés. Hem estat treballant per eliminar-ho de manera responsable, que no afectarà els clients que utilitzin aquests serveis per ajudar a emergència. Ens prenem seriosament la privadesa i la seguretat dels nostres clients i vam ser el primer proveïdor sense fils que es va comprometre a acabar amb aquests serveis el març.
Afegirem una segona actualització a aquest article si escoltem AT&T.
Article original, 7 de febrer de 2019 (18:01 ET):Al gener,Placa base va publicar un article sobre el full bombs en què es descriu com els caçadors de recompenses poden obtenir fàcilment dades de localització d’un usuari d’un telèfon intel·ligent comprant la informació de fonts nefastes. Al seu torn, aquestes fonts obtenen la seva informació directament de tres dels quatre operadors sense fils més grans del país.
En aquest article, aPlaca base El periodista detalla com van pagar a un caçador de recompenses 300 dòlars per trobar el seu telèfon, cosa que el caçador va fer amb molta facilitat.
Els operadors sense fils, en resposta a aquesta ignoració flagrant per a la privadesa dels usuaris, van dir que aquestes situacions no són comunes i representen un problema important.
Ara, un mes després,Placa base ha publicat un nou article sobre el mateix tema, aquesta vegada deixant clar que aquest problema és molt, molt més gran del que creiem inicialment.
Hi havia centenars de persones que compraven dades dels usuaris per milers de milions de preus relativament baixos.
Segons l'informe, centenars de caçadors de recompenses i organitzacions de fiances van utilitzar una empresa anomenada CerCareOne per comprar dades d'ubicació per a clients sense fil a Sprint, AT&T i T-Mobile. Alguns d'aquests caçadors de recompenses van utilitzar el servei desenes de milers de vegades, amb una empresa de fiances que va utilitzar el servei no menys de 18.000 vegades.
L'evidència d'això prové de la documentació interna de CerCareOne. L’empresa va tancar el 2017.
La cadena de fonts d’obtenció de dades d’ubicació d’usuaris no va passar gaire temps. Una empresa agregadora de dades anomenada Locaid (més endavant LocationSmart, de la qual ja havíem escrit abans quan es tracta de la mala manipulació de les dades de l’usuari) obté accés legalment a les dades d’ubicació de l’usuari de companyies de telefonia sense fil. Empreses com Locaid venen accés a aquestes dades a altres empreses que vulguin fer un seguiment dels seus empleats. Per obtenir aquest accés, empreses com Locaid han d’acceptar no utilitzar les dades d’ubicació amb cap altre propòsit.
CerCareOne va obtenir accés a les dades de Locaid de totes maneres i després la va revendre directament a caçadors de recompte i empreses de fiances. En el contracte, un caçador de recompenses signaria per obtenir dades sobre un individu, una clàusula estableix clarament que han de mantenir un secret mateix l’existència de CerCareOne.
Els caçadors de recompenses pagarien preus fins a 1.100 dòlars per les dades de la ubicació de l'usuari.
En alguns casos, els compradors tenien accés a dades GPS precises per a un usuari, no només a les dades de connexió de torre de cel·les.
Per ser clar, aquesta no es tracta només de la informació sobre el possible paratge d’una persona en funció de les seves connexions amb diverses torres de cel·les. En alguns casos, els caçadors de recompenses van tenir accés a les dades del GPS, cosa que els permetia conèixer la ubicació gairebé exacta en què es trobava una persona en un moment determinat.
Ens vam adreçar a AT&T, T-Mobile i Sprint sobre aquesta nova informació. Només Sprint ens va tornar fins ara, amb una declaració molt breu que afirmava que la companyia ha decidit acabar els seus arranjaments amb agregadors de dades com Locaid / LocationSmart. Tot i això, abans ja ho havíem sentit.
Actualitzarem aquest article si escoltem qualsevol dels altres operadors sense fil implicats en aquest escàndol.
