你已经暴露在别人眼皮下了,网站漏洞恐泄

文章来源：眼睑肉芽肿发布时间:2019-12-17 17:42:26 点击数：次

安全研究人员披露，加州一家专门收集蜂窝无线设备实时数据的公司网站存在技术漏洞，该缺陷恐允许任何人精确定位ATT、Verizon、Sprint或T-Mobile美国手机用户的实时位置信息。

据《福克斯新闻》报道，事发企业是位于加州卡尔斯巴德的LocationSmart公司，该公司经营着一种鲜为人知的业务，专为企业提供一些特殊数据，例如员工跟踪信息、或向相关商店客户发电子优惠券等。

在客户目录中，LocationSmart在其网站上标识的是美国汽车协会、联邦快递和保险公司ALLSTATE。

而对于此次网站漏洞的报道，LocationSmart迄今并未发表任何意见以试图辩解这一缺陷及其商业行为。

最先披露这一漏洞的是独立记者克雷布斯（BrianKrebs）。而最新的这一案例也显示，在未获用户同意的情况下，无线运营商可轻易地分享或出售消费者的地理定位信息。

《纽约时报》本月初的报道称，一家名为SCORUS的技术公司向一位前密苏里州执法人员提供了移动客户的位置数据，而该执法人员已被指控使用该数据来跟踪未获法院命令的人。而本周三又有报道称，SCORUS的服务器已被黑客侵入，并窃取了大量用户数据，而这些用户数据大多与执法人员有关。

据悉，SCORUS已向俄勒冈民主党参议员怀登（RonWyden）办公室坦承，它可能从LocationSmart公司间接地获得了用户的位置数据。

对此，怀登指出，LocationSmart和SCORUS案例再次显示出，由于联邦政府没有对地理定位数据进行有效监管，美国目前正面临“巨大危险”。

他说，“黑客可以用这个网站知道你什么时候在你的房子里，这样他们就知道什么时候可以实施抢劫。一个‘捕食者’甚至可以追踪你孩子的手机，知道他们什么时候是一个人独处。”

卡内基梅隆大学计算机科学系学生肖（RobertXiao）也向美联社透露，他发现了LooStand的软件错误并通知了该公司，随后该公司撤下了存在技术漏洞的网页。他指出，这个网页bug可允许任何人在世界任何地方查找美国手机用户的位置。

该网页的设计原本让访问者通过输入手机号码来测试LooStand的服务。然后，服务人员会打电话或发短信以获得授权，之后，他们会显示手机的位置。但肖发现了一个漏洞，可在15分钟内绕过“授权”。他表示，即使没有足够的技术知识也可轻松做到。

据悉，号称“全球最大的服务公司”的LocationSmart自年1月起开始提供这一服务。并声称它可从美国和加拿大的所有无线公司获得位置信息，覆盖率达到95%。

对此，ATT和Sprint公司的发言人表示，他们不允许在没有个人同意的情况下共享位置信息。而Verizon的发言人则表示，该公司已采取措施确保SCORUS不再获取其无线客户的信息，并正在审查其与LooStand的关系。而T-Mobile并未回应。