Un servizio USA permetteva di spiare la posizione geografica di ogni utente in tempo reale

• Privacy

A partire dallo scorso anno un “provvedimento choc” approvato negli Stati Uniti autorizza gli operatori di telecomunicazioni a raccogliere e rivendere a terzi i dati sulla navigazione dei clienti: USA, i provider potranno registrare la cronologia di navigazione e venderla a terzi.
Fortunatamente in Europa questo tipo di attività sono invece espressamente vietate: il provider Internet è tenuto a registrare in un file di log quanto svolto in rete da ciascun utente (ai fini della sicurezza) ma non può è usare i dati raccolti per finalità commerciali o addirittura rivenderli a terzi. Nell’articolo Navigare anonimi senza che neppure il provider possa monitorare i siti visitati abbiamo ulteriormente approfondito l’argomento.

In queste ore è emerso che negli USA quattro dei più grandi e importanti operatori di telefonia vendono a terzi i dati sulla posizione stimata di ciascun utente.
LocationSmart è un’azienda californiana che ha confermato di avere accesso alle informazioni condivise dalle società di telecomunicazioni del Nord America.

L’azienda, fino a poco fa, metteva pubblicamente a disposizione una pagina “prova prima di acquistare” che consentiva di valutare il funzionamento del servizio.
La pagina di LocationSmart, adesso rimossa, prevedeva l’acquisizione del consenso da parte del proprietario dell’utenza mobile indicata prima che la sua posizione geografica venisse rivelata al richiedente.

Robert Xiao, uno studente dell’Università Carnegie Mellon di Pittsburgh, in Pennsylvania, ha però scoperto la presenza di un bug che permetteva a chiunque di richiedere la posizione geografica di qualunque utenza telefonica senza ricevere alcuna autorizzazione preventiva.
Non è quindi escluso che qualcuno possa aver precedentemente abusato del medesimo bug di sicurezza per risalire alla posizione di qualcosa come 200 milioni di clienti degli operatori mobili negli Stati Uniti e in Canada.

Xiao ha spiegato come il nocciolo del problema risieda in una della API utilizzate da LocationSmart che non validava in maniera corretta la struttura della risposta relativa al consenso espresso dagli utenti (i dettagli sono pubblicati in questa pagina).
Il ricercatore ha quindi accertato come fosse davvero semplice superare la misura di protezione e simulare un’autorizzazione mai ottenuta.

Le autorità USA hanno comunicato di aver avviato un’indagine mentre AT&T, Verizon, Sprint e T-Mobile stanno espletando tutte le verifiche del caso.

L’incidente mostra ancora una volta come spesso i dati degli utenti vengano gestiti con troppa superficialità non analizzando in maniera puntuale le implicazioni in termini di sicurezza. Inoltre, appare palese come le regolamentazioni d’Oltreoceano che autorizzano i provider a condividere i dati con altri soggetti contribuiscano a peggiorare il quadro.