成立于1995年的美國位置數(shù)據(jù)公司LocationSmart近日被卷入了一場(chǎng)涉嫌泄露公民位置信息的風(fēng)波。

      據(jù)悉，LocationSmart公司的核心技術(shù)，是通過與美國四大運(yùn)營商（AT＆T，Sprint，T-Mobile或Verizon）的合作，基于通信基站以三角測(cè)量等方法，解析用戶手機(jī)所在的大概位置，進(jìn)而獲得用戶的實(shí)時(shí)位置信息；LocationSmart公司會(huì)將這些解析出來的用戶位置信息提供給需要的客戶，其業(yè)務(wù)覆蓋范圍目前已囊括商業(yè)營銷、資產(chǎn)追蹤、員工監(jiān)管、警務(wù)追查等領(lǐng)域。

      LocationSmart公司一直以來都在做出承諾，他們不會(huì)泄露公民隱私或者濫用公民的實(shí)時(shí)位置數(shù)據(jù)，即便公民處于他們的服務(wù)當(dāng)中，也會(huì)被提前告知公民是否許可提供當(dāng)前的位置信息；如果面向政府或警務(wù)的犯人監(jiān)管，通常也會(huì)有法院文件的授權(quán)文書，允許警務(wù)人員合法地對(duì)犯人實(shí)施位置監(jiān)控。然而這一次，問題還是出現(xiàn)在他們所提供的服務(wù)當(dāng)中。

      根據(jù)網(wǎng)絡(luò)安全博客KrebsOnSecurity的報(bào)道，LocationSmart公司向客戶提供實(shí)時(shí)獲取公民位置信息的API存在著漏洞，對(duì)任何發(fā)現(xiàn)該隱患的開發(fā)者或黑客來說，他們可以無需經(jīng)過授權(quán)許可，就能在幾秒內(nèi)獲取任何公民的實(shí)時(shí)位置，其精度范圍可以達(dá)到幾百米左右。

      而KrebsOnSecurity博客獲得此次信息的來源，由卡內(nèi)基梅隆大學(xué)的安全研究員羅伯特·肖（Robert Xiao）提供，羅伯特在其個(gè)人網(wǎng)站中發(fā)文指出，LocationSmart向公眾提供了一個(gè)試用頁面（原鏈接地址為：www.locationsmart.com/try/），任何人都可以在該頁面輸入一個(gè)手機(jī)號(hào)碼，當(dāng)該號(hào)碼的主人同意位置調(diào)用請(qǐng)求（通過短信或電話進(jìn)行確認(rèn)）后，該號(hào)碼主人的實(shí)時(shí)位置就能回傳到這個(gè)試用頁。

可輕松繞過許可的腳本代碼

      但羅伯特表示，手機(jī)號(hào)碼主人對(duì)于位置獲取請(qǐng)求的許可環(huán)節(jié)，可以被一段腳本代碼輕松繞過。一旦該腳本被執(zhí)行，意味著幾乎全美的公民實(shí)時(shí)位置隱私，都將暴露無遺；特別是對(duì)于不法分子而言，他們可以掌握某些目標(biāo)人群的實(shí)時(shí)位置，并帶去極大的人身威脅。

      不過，在這一事件被第一時(shí)間披露之后，LocationSmart公司就關(guān)閉了那個(gè)試用頁面，其創(chuàng)始人兼CEO馬里奧·普羅耶蒂（Mario Proietti）公開表示，他們已經(jīng)著手調(diào)查此事，并再次聲明用戶的位置數(shù)據(jù)會(huì)通過授權(quán)后才可以被合法使用。
 

Securus的平臺(tái)

      但這樣的解釋并不意味著LocationSmart公司能馬上獨(dú)善其身，隱私信息被濫用的陰云，不久前就已經(jīng)將他們的合作伙伴——另一家位置數(shù)據(jù)服務(wù)公司Securus Technologies也牽扯其中。

克里·哈奇森

      根據(jù)紐約時(shí)報(bào)于5月10日的報(bào)道稱，來自美國密蘇里州密西西比縣的一位前警長克里·哈奇森（Cory Hutcheson）被指控使用Securus公司提供的私有服務(wù)來監(jiān)視公民及其他同僚的手機(jī)，并且這樣的行為沒有獲得法院的文書許可。據(jù)悉該服務(wù)同樣可以在未經(jīng)許可的情況下，數(shù)秒內(nèi)獲取被監(jiān)視手機(jī)的所在位置。報(bào)道還指出，在2014年至2017年間，哈奇森至少使用過11次該服務(wù)，其使用的對(duì)象，包括了一位法官，以及國家公路巡警隊(duì)的若干成員。不過，哈奇森去年因?yàn)榱硗庖患卤唤夤土恕?br />
      Securus公司是全美數(shù)以千計(jì)的監(jiān)獄以及警務(wù)部門對(duì)嫌犯進(jìn)行有效監(jiān)視和追蹤的技術(shù)與服務(wù)的供應(yīng)商。例如此前有吸毒女性從戒毒所出逃后，被懲教人員用Securus公司的手機(jī)位置追蹤技術(shù)迅速找到；此外還有警方使用該服務(wù)將殺人嫌犯鎖定在了10米左右的范圍內(nèi)。要知道，負(fù)責(zé)給Securus公司提供手機(jī)實(shí)時(shí)位置數(shù)據(jù)的公司，實(shí)際上就是LocationSmart公司。

      因此，除了KrebsOnSecurity和羅伯特所共同披露的事件外，Securus公司和LocationSmart公司都很難撇清他們很早以前就已經(jīng)開辟后門程序給一些人或組織的嫌疑。

      盡管哈奇森當(dāng)時(shí)如何非法獲取公民和同僚位置信息的事件仍在調(diào)查之中，但Securus官方宣稱，在給客戶提供公民或者嫌犯的位置信息時(shí)，他們都需要客戶必須出示相應(yīng)的許可文書，或者法律文件。

      不過，據(jù)紐約時(shí)報(bào)的報(bào)道稱，一位來自俄勒岡州的民主黨參議員在遞交給聯(lián)邦通信委員會(huì)的一封信件中表示，Securus公司強(qiáng)調(diào)他們有文書或法律文件就可以提供這樣的服務(wù)，仍是不可取的，因?yàn)橥ㄓ嵾\(yùn)營商同樣有責(zé)任采取措施保障公民的隱私不被泄露和濫用。

      而Securus公司作為一家成立于1986年的老牌位置服務(wù)公司，其面向犯人追蹤的核心業(yè)務(wù)早已開展，包括位置獲取的相關(guān)流程在各個(gè)使用單位已經(jīng)根深蒂固，因此想要進(jìn)一步提高對(duì)公民隱私的保護(hù)，確保不被非法竊取和利用，仍有待于企業(yè)間的深入合作，甚至是從立法層面的協(xié)調(diào)。

      針對(duì)LocationSmart公司和Securus公司此次被曝出的事件，美國四大網(wǎng)絡(luò)運(yùn)營商們的態(tài)度也趨于一致：如果客戶（公民）的隱私數(shù)據(jù)存在著被濫用的現(xiàn)象，他們將采取適當(dāng)?shù)男袆?dòng)予以制止。當(dāng)前階段，運(yùn)營商們已經(jīng)在就Securus公司的問題展開了詳細(xì)的調(diào)查。