Уязвимость на сайте LocationSmart раскрывала данные о передвижениях миллионов американцев

Как на днях сообщал портал SecurityLab, крупнейшие операторы связи США продают данные о местоположении своих абонентов в реальном времени частной компании LocationSmart. В свою очередь, LocationSmart продает эти данные заинтересованным лицам. Как оказалось, на сайте компании была обнаружена уязвимость, позволяющая хакерам следить за передвижениями миллионов американцев без их ведома.

Сайт LocationSmart предлагает специальную услугу «try-before-you-buy», позволяющую потенциальным покупателям проверить достоверность данных прежде, чем их купить. Для этого потенциальный покупатель обязан отправить абоненту одноразовое сообщение с целью получить от него разрешение на использование данных о его местоположении. Тем не менее, по данным журналиста Брайана Кребса, уязвимость на сайте LocationSmart позволяла любому желающему отслеживать местоположения пользователей без какого-либо разрешения.

Как пояснил специалист Университета Карнеги-Меллона Роберт Сяо (Robert Xiao), простейшая ошибка на сайте позволяла пропустить шаг, предусматривающий обязательное получение согласия пользователя, и перейти непосредственно к геолокационным данным.

Сяо частным образом сообщил LocationSmart об уязвимости, и страница «try-before-you-buy» была отключена. По словам исследователя, уязвимость могла привести к утечке данных о местоположении порядка 200 млн жителей США и Канады.