En oroande rapport som publicerades tisdag på moderkortet avslöjade att platsdata amerikanska transportörer som samlats in från användare och sålts till legitima företag lätt kan landa i händerna på skottjägare och den svarta marknaden där de kunde användas för onda ändamål.
Den utredande artikeln av Joseph Cox säger att stora amerikanska telekom som AT&T, Sprint och T-Mobile säljer bulk-platsdata till platsaggregatorer som sedan säljer det till specifika kunder och branscher.
Ibland hamnar uppgifterna i fel händer, för att uttrycka det mildt.
Förra året mötte en platsaggregator, som kallades LocationSmart, hård kritik för att ha sålt data som slutligen hamnade i Securus, ett företag som tillhandahöll telefonspårning till låg nivåinspektioner utan att kräva någon garanti. LocationSmart avslöjade också själva uppgifterna som den sålde via en buggy webbplatspanel, vilket innebär att vem som helst kan geolokera nästan vilken som helst telefon i USA med ett musklick.
Som om det inte räckte, så här:
Moderkortets utredning visar hur exponerade mobilnät och de data de genererar är, vilket lämnar dem öppna för övervakning av vanliga medborgare, stalkers och brottslingar, och kommer eftersom media och politiska beslutsfattare ägnar mer uppmärksamhet än någonsin på hur plats och annan känslig information samlas in och sålde.
Undersökningen visar också att ett stort antal företag kan komma åt platsinformation för mobiltelefoner och att informationen lurar ner från mobiltelefonleverantörer till en mängd mindre spelare som inte nödvändigtvis har rätt skydd för att skydda dessa data.
Det blir ännu värre än så!
Åtminstone ett företag, kallad Microbilt, säljer geolokaliseringstjänster via telefon med lite övervakning till en spridning av olika privata industrier, allt från bilförsäljare och fastighetsförvaltare till borgmässiga obligationer och skattejägare, enligt källor som är bekanta med företagets produkter och företagsdokument som erhållits av moderkortet.
I kombination med den redan mycket tvivelaktiga affärsmetoden säljs denna spioneringsförmåga också till andra på den svarta marknaden som inte har licens av företaget för att använda den, inklusive mig, till synes utan Microbilts kunskap.
För att testa sina teorier betalade författaren en skottjägare 300 $ för att hitta sin telefon med en skuggig tjänst som inte var avsedd för poliserna, utan för privatpersoner och företag.
Skottjägaren skickade numret till sin egen kontakt, som kunde spåra telefonen och ta en skärmdump av Google Maps med en blå cirkel som indikerade telefonens nuvarande plats, ungefär några hundra meter.
Mer specifikt visade skärmdumpen en plats i ett visst område - bara ett par kvarter där målet var. Jägaren hade hittat telefonen. Målet gav sitt samtycke till moderkortet att spåras via deras T-mobiltelefon.
Den värsta delen: den här typen av övervakning "fungerar bara"
Bounty jägaren gjorde allt utan att distribuera ett hackverktyg eller ha någon tidigare kunskap om telefonens vistelseort. I stället förlitar sig spårningsverktyget på realtidslägesdata som såldes till duschjägare som i slutändan härstammar från telekoserna, inklusive T-Mobile, AT&T och Sprint, har en undersökning av moderkortet funnit. Dessa övervakningsmöjligheter säljs ibland via mun-till-mun-nätverk.
Personen försäkrade författaren att han kunde hitta den aktuella platsen för de flesta telefoner i USA bara med användarnas telefonnummer. Märkligt nog antyder Microbilts dokumentation att dess telefonlokalitetstjänst fungerar i alla mobilnät men artikeln säger att ”mellanhanden inte kunde eller ville göra en sökning efter en Verizon-enhet.”
Microbits prislista: att få realtidsuppdateringar på telefonens plats kostar cirka $ 12,95
Moderkortets fascinerande undersökande skrivande uppinerar att stora trådlösa transportörer i USA kan vara omedvetna om hur platsdata för amerikanska mobiltelefonkunder används, eller till och med vars händer det landar i, och det är en oroande tanke.
"Telekomföretag och datainsamlare som Motherboard talade med sa att de kräver att deras kunder ska få medgivande från de människor som de vill spåra, men det är tydligt att detta inte alltid händer," erkänner artikeln.
För dem som inte är kända är det omöjligt att helt stoppa platsspårning.
Eftersom din enhet flyttas från ett celltorn till ett annat, inte ens helt inaktivering av Location Services i iOS och återkallande av platstillstånd som ges till appar som Facebook och Google Maps förhindrar att din geolokation spåras och registreras av en operatör.
Din mobiltelefon kommunicerar ständigt med närliggande mobiltorn, så att din telekomleverantör vet var du ska dirigera samtal och texter. Utifrån detta räknar telekomföretag också ut telefonens ungefärliga plats baserat på dess närhet till tornen.
Din operatör känner exakta platser för alla dessa celltorn och med hjälp av triangulering identifierar du din plats med tillräckligt noggrann precision. Denna anonymiserade platsinformation säljs sedan till andra företag som använder dem mest för legitima ändamål tills de inte gör det.
Den här infografin visar hur platsinformationen skickade ner från T-Mobile till moderkort
Till exempel säljer din transportör dessa platsdatabaser till finansinstitut och kreditkortsutgivare som kan använda dem för statistiska ändamål, för att förbättra bedrägeribekämpning och mer.
Efter publiceringen av moderkortet berättade representanter för både AT&T och T-Mobile i ett uttalande att deras partner Zumigo har slutat arbeta med Microbilt medan Sprint erkände att det inte har ett direkt förhållande till Microbilt.
Om det som moderkortutredningen påstått så småningom visar sig vara sant, borde vi folket behandla deras resultat och hela detta saga som en integritetsskandal i högsta grad. Ingen bad om att spåras av sin transportör, än mindre samtyckt till att deras platsinformation överlämnades till rogue företag med liten eller ingen tillsyn över hur det kommer att användas.
Det här är integritetsintrång, skulle du inte säga det?
