वेबसाइट बग लोगों को बिना अनुमति के अमेरिकी सेल फोन को ट्रैक करने देती है

एक हफ्ते पहले अमेरिकी सीनेटर जॉन विडेन ने एफसीसी से एक फोन ट्रैकिंग सिस्टम के बारे में औपचारिक शिकायत की थी जिसका उपयोग पुलिस द्वारा अमेरिका में लगभग किसी भी फोन को ट्रैक करने के लिए किया जा सकता है। अब, सबूत सामने आए हैं कि एक और अधिक भयानक फोन ट्रैकिंग सेवा, अमेरिकी सेल फोन को ट्रैक करने के लिए किसी के बारे में अनुमति दे रही है.

सिस्टम को LocationSmart कहा जाता है, और यह एक फोन ट्रैकिंग सेवा है जो Verizon, AT से संबंधित वाहक नेटवर्क से जुड़े सेल फोन के स्थान को इंगित कर सकती है।&टी, स्प्रिंट और टी-मोबाइल.

अविश्वसनीय रूप से, सुरक्षा शोधकर्ता, ब्रायन क्रेब्स ने अब यह खुलासा किया है कि एक बग - जो दोहन के लिए बेहद आसान है - स्थान ट्रैकिंग टूल के मुफ्त डेमो में पाया गया है.

एपीआई का उपयोग करने के लिए नि: शुल्क, जो हाल ही में लोकेशनस्मार्ट की वेबसाइट पर उपलब्ध था, अमेरिका में किसी भी सेल फोन को ट्रैक करने के लिए बुनियादी कोडिंग ज्ञान काम के साथ किसी को भी अनुमति दे रहा था।.

आप कहाँ हैं?

स्थान ट्रैकिंग डेमो उपभोक्ताओं को अपने स्वयं के फोन के स्थान की जांच करने की अनुमति देकर प्रौद्योगिकी की व्यवहार्यता की जांच करने की अनुमति देने के लिए मौजूद था। इसने भावी ग्राहकों को ऑनलाइन फॉर्म में अपना नाम, ईमेल पता और फोन नंबर दर्ज करने का काम किया। उसके बाद, उपयोगकर्ता को एक एसएमएस संदेश प्राप्त हुआ जिसमें सेल टॉवर ट्राइएंगुलेशन का उपयोग करके अपने फोन की स्थिति के बारे में बताने के लिए उनकी अनुमति मांगी गई थी.

हालांकि, कार्नेगी मेलन विश्वविद्यालय में काम करने वाले एक शोधकर्ता ने एसएमएस प्राधिकरण प्रक्रिया को बायपास करने का एक तरीका खोजा। परिणाम? ऑनलाइन डेमो टूल का उपयोग करके यूएस में किसी भी फोन के स्थान को क्वेरी करने की क्षमता.

शोषण करना आसान है

कार्नेगी मेलन के मानव-कंप्यूटर इंटरैक्शन इंस्टीट्यूट से रॉबर्ट जिओ के अनुसार, उन्होंने बग को संयोग से पाया:

“मैं इस दुर्घटना से लगभग लड़खड़ा गया, और ऐसा करना बहुत कठिन नहीं था.

“यह ऐसी चीज है जिसे कोई भी न्यूनतम प्रयास के साथ खोज सकता है। और इसका सार यह है कि मैं अधिकांश लोगों के सेल फोन को उनकी सहमति के बिना ट्रैक कर सकता हूं। "

बग के बारे में जिओ के विस्तृत ब्लॉग में, वह बताते हैं कि डेमो के वेब अनुरोधों में परिवर्तन करना आसान है, किसी को भी फोन उपयोगकर्ताओं को ट्रैक किए जाने से पहले एसएमएस के माध्यम से अनुमोदन करने की आवश्यकता को दरकिनार करने की अनुमति दी गई है। जिओ ने अपने मित्र के फोन को कई बार ट्रैक करके बग का परीक्षण किया और वास्तविक समय में उसे सफलतापूर्वक ट्रैक करने में सक्षम था। "यह वास्तव में डरावना सामान है," उन्होंने टिप्पणी की.

जिओ ने यह भी बताया कि "क्योंकि यह वाहक आधारित है, यह फोन ऑपरेटिंग सिस्टम या डिवाइस पर गोपनीयता सेटिंग्स की परवाह किए बिना काम करता है। ऑप्ट-आउट करने की क्षमता नहीं है".

मारियो प्रोएट्टी लोकेशनस्मार्ट के सीईओ ने यह कहने के लिए रिकॉर्ड पर गया है कि फर्म क्या हुआ, इसकी जांच शुरू करेगी। डेमो टूल को पहले ही वेबसाइट से हटा दिया गया है। Proietti के अनुसार, API केवल "वैध और अधिकृत उद्देश्यों" के लिए उपलब्ध कराया गया था। सेवा के बारे में बात करते हुए, उन्होंने टिप्पणी की:

"यह स्थान डेटा के वैध और अधिकृत उपयोग पर आधारित है जो केवल सहमति पर होता है। हम गोपनीयता को गंभीरता से लेते हैं, और हम सभी तथ्यों की समीक्षा करेंगे और उन पर गौर करेंगे। "

गोपनीयता भंग हुई

सीनेटर रॉन विडेन ने फिर से इस बात पर अपना गुस्सा जाहिर किया कि टेलीकॉम कंपनियों और उनके द्वारा काम करने वाले तीसरे पक्ष द्वारा उपभोक्ता डेटा का इलाज किया जा रहा है:

"यह रिसाव, सिक्यूरस में लक्स सिक्योरिटी के उजागर होने के कुछ दिनों के बाद ही आ रहा है, यह दर्शाता है कि पूरे वायरलेस इकोसिस्टम में कितनी कम कंपनियां अमेरिकियों की सुरक्षा को महत्व देती हैं। यह न केवल गोपनीयता के लिए बल्कि हर अमेरिकी परिवार की वित्तीय और व्यक्तिगत सुरक्षा के लिए एक स्पष्ट और वर्तमान खतरे का प्रतिनिधित्व करता है.

"क्योंकि वे उन अमेरिकियों की गोपनीयता और सुरक्षा के ऊपर मुनाफे को महत्व देते हैं जिनके स्थानों में वे ट्रैफ़िक करते हैं, वायरलेस कैरियर और लोकेशनस्मार्ट ने किसी भी हैकर को सेल फोन के साथ किसी भी अमेरिकी के स्थान को ट्रैक करने के लिए वेबसाइटों के मूल ज्ञान के साथ अनुमति दी है।"

कानूनी ग्रे एरिया

क्रेब्स ने शामिल चार सेल फोन वाहकों से संपर्क किया, लेकिन सभी ने पुष्टि करने या इनकार करने से इनकार कर दिया कि उन्होंने लोकेशनस्मार्ट के साथ काम किया था। हालांकि अपुष्ट, क्रेब्स का दावा है कि यह संभव है कि डेमो 2011 के शुरू से ही शोषण करने के लिए उपलब्ध रहा है, और निश्चित रूप से 2017 के जनवरी से.

इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के स्टाफ अटॉर्नी के अनुसार, आपातकालीन सेवाओं को उपलब्ध कराने के लिए स्थान डेटा रखने के लिए कानून द्वारा फर्मों की आवश्यकता होती है। हालाँकि, यह एक ग्रे क्षेत्र बना हुआ है कि क्या यह वाहक के लिए कानूनी है कि वह उपभोक्ताओं को पहले अनुमति प्राप्त किए बिना लोकेशनस्मार्ट और सिक्यूरस जैसी फर्मों को भी डेटा बेचे। क्रेब्स ने कहा:

"एक तृतीय-पक्ष फर्म ग्राहक स्थान की जानकारी लीक करना न केवल लगभग निश्चित रूप से प्रत्येक मोबाइल प्रदाताओं की उल्लिखित गोपनीयता नीतियों का उल्लंघन करेगा, लेकिन इस डेटा के वास्तविक समय में जोखिम लगभग सभी अमेरिकी मोबाइल ग्राहकों के लिए गंभीर गोपनीयता और सुरक्षा जोखिम पैदा करता है।."

अभी के लिए, हमें इंतजार करना होगा और देखना होगा कि एफसीसी की जांच में क्या आता है। हालाँकि, एक बात सुनिश्चित है, यह आसानी से कालीन के नीचे ब्रश नहीं किया जाएगा.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me