یک کمپانی که در سن دیگو (San Diego) به نام LocationSmart که در شهر Carlsbad فعالیت میکند، در حال جمع آوری اطلاعات زنده یا به روز، با استفاده از دستگاه های موبایلی که از وایرلس بهره میبرند میباشد. یک دانشجوی رشتهی علوم کامپیوتری در طی گزارشی، امروز ابراز داشت که یک نقصان در وبسایت این شرکت باعث چنین مشکلی شده و هم اکنون برای همگان آشکار و واضح است. مشکل به وجود آمده از این قرار است که موقعیت مکانی کاربرانی که بر روی گوشیهای هوشمند خود از سرویسهای شرکتهای خدمت رسان اینترنتی چون Verizon, AT&T, T-Mobile و یا Sprint بهره میبردند، برای همگان آشکار شده بود و این اطاعات درز کرده تا شعاع چند هزار یاردی از هر مخاطب به شدت دقیق و واضح خواهد بود.
اگر برای شما هم سوال شده است که شرکتهایی مانند LocationSmart با اطلاعات مکانی مخاطبان خود چه کاری انجام میدهند باید این گونه به سوالتان پاسخ بگوییم که این دسته شرکتها اطلاعات مخاطبان خود را به شرکتهایی میفروشند که موقعیت مکانی کارکنانشان برای آنها مهم و حیاتی است. بخش دیگر استفاده از این اطلاعات، باز میگردد به پیامهای تبلیغاتی و پیامهایی که مشتریان را از تخفیفهای فروشگاهها مطلع میسازد. به مشتریانی که به فروشگاههای خاصی نزدیک هستند یا درون آن فروشگاهها در حال خریدند. از شرکتهایی که از این قابلیت LocationSmart بهره میبرند میتوان به AAA, FedEx, و Allstate اشاره کرد.
اگر چنین خبری به نظر شما آشنا میآید، شاید شما هم در مورد خبری که از شرکت Securus Technologies در طی هفتهی پیشین به بیرون درز کرده بود اطلاع داشته باشید. این شرکت که به دستور کلانتر یک محلهی کوچک، تلفنهایی که متعلق به گشت بزرگراهی بودند را در طی بازهی سال ۲۰۱۴ تا ۲۰۱۷ میلادی رد یابی میکرد. و طبیعتا چنین کاری را بدون دریافت هیچ گواهینامه ای انجام دادند. بین دو رویداد رخ داده یک ارتباط وجود دارد; بنا به اطلاعات به دست آمده از ران وایدن (Sen. Ron Wyden ) یکی از قربانیان اتفاقات اخیر، شرکت Securus اطلاعات وی را از طریق شرکتی به نام ۳Cinterative دریافت کرده است و بر اساس تحقیقات انجام شده شرکت ۳Cinterative ،یکی از مشتریان شرکت LocationSmart است.
در طی چهارشنبهی هفتهی گذشته، رابرت ژاو (Robert Xiao ) ،دانشجوی علوم کامپیوتری دانشگاه Carnegie Mellon، این شکاف را در وبسایت شرکت LocationSmart پیدا کرد. بر اساس گفته ژاو، این باگ نرم افزاری به هر کسی در پهنهی این کره ی خاکی اجازه میداد تا بتواند مکان تلفنهایی که در ایالات متحده فعال هستند را پیدا کند. فرضا شما میتوانستید با وارد کردن ده عدد تصادفی یا هر عددی که میخواستید مکان شخص مورد نظرتان را بیابید. در حالی که این سایت بر اساس قواعد باید این گونه میبود که تا به کاربران خود در عوض دریافت شمارهی تلفنشان این اجازه را بدهد تا از خدمات شرکت LocationSmart استفاده کنند، و این عمل تنها و فقط در صورتی اتفاق میافتاد که رضایت نامه از طریق تماس یا پیامک از طرف مصرف کنندگان فرستاده میشد تا این سیستم بتواند مکان آنها را بیابد (و باز هم تکرار میکنیم که بنا بر این بود که این سیستم تنها محل حدودی کاربران خود را که شعاع چند هزار یاردی آنها را شامل میشد، داشته باشد.)
این شکاف در پلتفرم دموی LocationSmart، این اجازه را به هر کسی میداد تا مکان هر تلفن همراهی را که از سیستمهای خدمات اینترنتی Verizon, AT&T, T-Mobile or Sprint استفاده میکردند پیدا کند.
ژاو ،دانشجوی تیز بین ماجرای ما، این باگ نرم افزاری LocationSmart را تنها در طول ۱۵ دقیقه پیدا کرد. این باگ به وی این اجازه را میداد تا فرم رضایت نامه را دور بزند که بر اساس تئوری، چنین کاری این اجازه را به او میدهد تا هر تلفن همراهی را که تحت پوشش وایرلس این چهار خدمت رسان اینترنتی بزرگ هستند را در سر تا سر ایالت متحده پیدا کند. این قضیه جایی فاجعه بار میشود که وی در اعلامیهاش ذکر میکند “این کار برای هرکسی که دانش کافی در حوزهی تکنولوژی داشته باشد میسر است و زمان زیادی هم برای پیدا کردن آن صرف نخواهد شد.”
سخنگوی شرکت Verizon ،ریچارد یانگ (Rich Young) اعلام کرد که این شرکت دسترسی Securus را نسبت به اطلاعات کاربرانش قطع خواهد کرد و در مورد روابط آینده اش با شرکت LocationSmart ،محتاطانه تر رفتار خواهد کرد. AT&T and Sprint هر کدام جداگانه اعلام کردند که به شرکتهای ثرد پارتی این اجازه را نمی دهند تا بدون داشتن رضایت نامه ،حکم دادگاهی و یا گواهی نامهای، به اطلاعات کابرانشان دسترسی داشته باشند.
به لطف این کشف آقای ژاو، شرکت LocationSmart، این صفحه که باعث ایجاد چنین اختلالی میشد را در روز پنجشنبه از روی وبسایت خود حذف کرد. در این سایت هم اکنون بیانیهای از سوی شرکت وجود دارد که ابراز میدارد، این نقطهی ضعف که در مکانیزم گرفتن توافقنامه از مشتریان در نسخهی دمو به کار رفته بود، کاملا حل شده و تا تاریخ شانزدهم ماه می از آن بهره وری نشده بود. این شرکت همچنین اعلام کرد، هیچ کدام از اطلاعات مشتریان استفاده کننده از این سرویس بدون گرفتن اجازهی مستقیم از آنها ذخیره سازی نشده و افزود که نسخهی دمو هم اکنون غیر فعال شده است. متن کامل این بیانیه را میتوانید در زیر مطالعه کنید:
LocationSmart فراهم کنندهی یک پلتفرم پوبا است که میکوشد تا یک محیط کارا و امن را برای کابرانش مهیا کند. تمام افشاءهای اطلاعاتی که درباره محل حضور کاربران از طریق پلتفرم LocationSmart به وقوع پیوست، به طور مستقیمی به توافقنامهای ارتباط دارد که در ابتدای کار از افرادی که سعی در فعالیت در این پروژه داشتند گرفته شده بود. این شکاف و ضعف مکانیزم توافنامهی ما به تازگی توسط آقای رابرت ژاو ،یک محقق امنیت سایبری، شناسایی شده به طور کامل این مشکل از سوی ما حل شده است و همچنین این دمو در حال حاضر غیر فعال میباشد. ما علاوه بر این ابراز میداریم که این شکاف به وجود آمده در پلتفرم تا قبل از تاریخ شانزدهم ماه می باعث ایجاد هیچگونه سوء استفادهای نشده و منجر به دریافت و ذخیره سازی اطلاعات مشتریان بدون دریافت اجازه نامه از آنها نشده است. در آن روز مقداری به میزان ۲۰۰۰ نفر از کاربران این سرویس توسط آقای ژاو توسط این شکاف بهره برداری شدند. بنا به اطلاعیهی عمومی که آقای ژاو منتشر کرده است، ما مطلع هستیم که موقعیت مکانی این افراد تنها زمانی شناسایی شد که آقای ژاو ،شخصا شروع به جمع آوری توافقنامهی آنها کرده بود. LocationSmart به تلاشهای خود ادامه میدهد تا موقعیت مکانی هیچ کاربری از این سرویس بدون دریافت موافقت نامه از وی، قابل دسترس نباشد و تضمین میکند که تمام شکافها و خلاءهای موجود در سیستم خود را پوشش داده و همهی آنها را مرتفع سازد. LocationSmart در جهت ارتقاء سطح امنیتی و پیشرفت در قوانین محافظت از اطلاعات کابران خود تلاش کرده و تجارب به دست آمدهی خود در حوادث و اتفاقات پیشبینی نشده در آینده بهره برداری خواهد کرد.
نظرات