Een Californisch bedrijf bevestigde dat een fout in zijn website buitenstaanders in staat stelde om de locatie van mobiele telefoons in de Verenigde Staten zonder toestemming te bepalen.

Maar LocatieSmart, die realtime gegevens verzamelt over mobiele draadloze apparaten, zegt dat het geen bewijs heeft dat iemand vóór 16 mei misbruik heeft gemaakt van de kwetsbaarheid, toen een beveiligingsonderzoeker van Carnegie Mellon het ontdekte.

Brenda Schäfer, een Vice-president van LocationSmart, zei vrijdag via e-mail dat het bedrijf nog steeds probeert te verifiëren dat er geen locatiegegevens zijn gebruikt zonder toestemming van individuele abonnees. Ze reageerde niet op vragen over de zakelijke praktijken van LocationSmart of hoe lang de fout al bestond.

Voorstanders van privacy zeggen dat de zaak de laatste is om te onderstrepen hoe gemakkelijk draadloze providers de geolocatie-informatie van consumenten kunnen delen of verkopen zonder hun toestemming. De LocationSmart-fout werd voor het eerst gemeld door de onafhankelijke journalist Brian Krebs.

LocationSmart is actief in een weinig bekende bedrijfssector die gegevens aan bedrijven levert voor bijvoorbeeld het volgen van werknemers en het sms'en van e-coupons naar klanten in de buurt van relevante winkels. Onder de klanten die LocationSmart op haar website identificeert, zijn de American Automobile Association, FedEx en de verzekeringsmaatschappij Allstate.

De New York Times meldde eerder deze maand dat een bedrijf genaamd Securus Technologies locatiegegevens over mobiele klanten heeft verstrekt aan een voormalige sheriff van Missouri die ervan wordt beschuldigd de gegevens te gebruiken om mensen te volgen zonder een gerechtelijk bevel. Op woensdag, Motherboard meldde dat de servers van Securus waren gehackt door een hacker die gebruikersgegevens had gestolen die voornamelijk van wetshandhavers waren.

Securus heeft zijn locatiegegevens mogelijk indirect van LocationSmart verkregen. Securus-functionarissen vertelden het kantoor van senator Ron Wyden, een Democraat uit Oregon, dat ze de gegevens hebben verkregen van een bedrijf genaamd 3Cinterative, zei Wyden-woordvoerder Keith Chu. LocationSmart vermeldt 3Cinteractive onder haar klanten op haar website.

Wyden zei dat de LocationSmart- en Securus-zaken de "grenzeloze gevaren" onderstrepen waarmee Amerikanen worden geconfronteerd vanwege het ontbreken van federale regelgeving voor geolocatiegegevens.

"Een hacker had deze site kunnen gebruiken om te weten wanneer je in je huis was, zodat ze zouden weten wanneer ze het moesten beroven. Een roofdier zou de mobiele telefoon van je kind kunnen volgen om te weten wanneer ze alleen waren, " zei hij in een verklaring.

Een woordvoerster van de Federal Communications Commission zei dat de LocationSmart-zaak voor onderzoek was doorverwezen naar het handhavingsbureau van het agentschap.

LocationSmart heeft de gebrekkige webpagina donderdag offline gehaald, een dag nadat Robert Xiao, student computerwetenschappen aan de Carnegie Mellon University, de softwarefout ontdekte en het bedrijf op de hoogte bracht, Xiao vertelde The Associated Press.

De bug "toestond dat iedereen, ergens in de wereld, om de locatie van een Amerikaanse mobiele telefoon op te zoeken, " zei Xiao, een doctoraal onderzoeker. "Ik zou elk tiencijferig telefoonnummer kunnen intoetsen, " hij voegde toe, 'en ik zou iemands locatie kunnen krijgen.'

De webpagina is ontworpen om bezoekers de service van LocationSmart te laten testen door hun mobiele telefoonnummer in te voeren. De dienst zou dan hun telefoon rinkelen of een sms-bericht sturen om toestemming te verkrijgen, waarna het de locatie van de telefoon zou weergeven - over het algemeen tot op enkele honderden meters afstand.

Maar Xiao ontdekte een fout waardoor hij de toestemming in slechts 15 minuten kon omzeilen. "Het zou niet iemand met voldoende technische kennis veel tijd kosten om dit te vinden, " zei hij. Hij schreef een script om het te exploiteren.

Xiao's onderzoek wees uit dat LocationSmart de dienst sinds minstens januari 2017 aanbood.

LocationSmart prijst zichzelf aan als 's werelds grootste location-as-service-bedrijf. Het zegt dat het locatie-informatie verkrijgt van alle grote Amerikaanse en Canadese draadloze bedrijven, met 95 procent dekking.

Verizon-woordvoerder Rich Young zei dat het bedrijf stappen heeft ondernomen om ervoor te zorgen dat Securus niet langer informatie over de draadloze klanten van het bedrijf kan opvragen en dat het zijn relatie met LocationSmart aan het herzien was. T-Mobile zei ook dat het "problemen heeft opgelost die zijn geïdentificeerd met Securus en LocationSmart."

Vertegenwoordigers van AT&T en Sprint zeiden dat ze het delen van locatie-informatie niet toestaan ​​zonder individuele toestemming of een wettig bevel zoals een bevel.

Gigi Sohn, een voormalige topassistent bij de FCC tijdens de regering-Obama, zei dat locatiegegevens van gebruikers sinds vorig jaar een hoog risico lopen. Dat is het moment waarop het Congres de FCC-privacyregels intrekt die mobiele draadloze providers verbieden om het te delen of te verkopen zonder de uitdrukkelijke "opt-in" toestemming van klanten.

"Op zijn minst consumenten moeten kunnen kiezen of een bedrijf als LocationSmart überhaupt toegang moet hebben tot deze gegevens, " ze zei.

© 2018 The Associated Press. Alle rechten voorbehouden.