Provozovatelé jedné z méně známých služeb ve Spojených státech mají průšvih. Došlo k úniku informací o aktuální poloze řady uživatelů v reálném čase. Svědkem úniku se mohl stát kdokoliv, kdo zrovna zkoušel bezplatnou funkci této služby. Služba s názvem LocationSmart měla původně poskytovat příslušná data pouze ve zvláštních případech a autorizovaným subjektům (operátorů, policii). Demoverzi příslušného nástroje ale podle novináře Briana Krebse mohl nakonec využít kdokoliv.
„Služba pochybila ve věci provedení základní kontroly, v jejímž výsledku by bylo zabráněno v přístupu anonymním uživatelům na základě neautorizovaných požadavků. Prakticky kdokoliv s minimem příslušných znalostí o tom, jak fungují webové stránky, mohl demoverzi služby LocationSmart zneužít k vyhledání lokace majitele libovolného telefonního čísla bez jakéhokoliv dalšího ověření, jako je heslo nebo další údaje,“ vysvětluje Krebs.
Chybu víceméně náhodou odhalil Robert Xiao, bezpečnostní pracovník Carnegie Mellon University. „Nebylo to nic těžkého,“ přiznává Xiaom. „Tuto chybu by při naprosto minimálním úsilí mohl odhalit prakticky kdokoliv. V podstatě jsem mohl sledovat mobilní telefon většiny lidí zcela bez jejich souhlasu.“. Xiao podle svých vlastních slov několikrát během pár minut vyhledal telefon svého přítele a sledoval jeho polohu.
Příslušná služba LocationSmart, která byla tento týden vyřazena z provozu, umožňovala lokalizovat zákazníky populárních amerických operátorů s přesností na stovky metrů. Robert Xiao zveřejnil detailní popis chyby, v němž ukazuje, jak snadné bylo vyhledávání polohy. Zakladatel a generální ředitel LocationSmart Mario Proietti uvedl, že neměl nikdy v úmyslu poskytovat citlivá data tímto způsobem. „Službu zpřístupňujeme pro legitimní a schválené účely,“ řekl. „Je založena na legitimním a ověřeném využití dat o poloze, která jsou poskytována pouze se souhlasem. Bereme soukromí velice vážně.“.
Není to poprvé, kdy se podobné společnosti vymklo zacházení s citlivými daty mírně z rukou. Jen několik dní před odhalením chyby ze strany LocationSmart se do hledáčku amerických médií dostala služba Securus, která policii umožňovala prakticky na počkání lokalizovat majitele mobilních telefonů. V případě Securus došlo k úniku uživatelských jmen a nedostatečně chráněnžch hesel tisícovek jejích klientů.