Como a T-Mobile, Sprint e AT&T vendem os dados de geolocalização do seu smartphone

T-Mobile, Sprint e AT&T estão vendendo acesso aos dados de localização de seus clientes, e esses dados estão acabando nas mãos de caçadores de recompensas e outros não autorizados a possuí-los, permitindo-lhes rastrear a maioria dos telefones no país.

Nervosamente, dei um número de telefone a um caçador de recompensas. Ele se ofereceu para geolocalizar um telefone para mim, usando um serviço obscuro e esquecido, destinado não aos policiais, mas a indivíduos e empresas. Armado com apenas o número e algumas centenas de dólares, ele disse que poderia encontrar a localização atual da maioria dos telefones nos Estados Unidos.

O caçador de recompensas enviou o número para seu próprio contato, que rastrearia o telefone. O contato respondeu com uma captura de tela do Google Maps, contendo um círculo azul indicando a localização atual do telefone, aproximadamente a algumas centenas de metros.

Queens, Nova Iorque. Mais especificamente, a captura de tela mostrava uma localização em um bairro específico - a apenas alguns quarteirões de onde estava o alvo. O caçador encontrou o telefone (o alvo deu o seu consentimento para que a Motherboard fosse rastreada pelo telefone T-Mobile).

O caçador de recompensas fez tudo isso sem implantar uma ferramenta de hacking ou ter qualquer conhecimento prévio da localização do telefone. Em vez disso, a ferramenta de rastreamento depende de dados de localização em tempo real vendidos a caçadores de recompensas que, em última análise, se originaram das próprias empresas de telecomunicações, incluindo T-Mobile, AT&T e Sprint, descobriu uma investigação do Motherboard. Essas capacidades de vigilância às vezes são vendidas por meio de redes boca a boca.

Considerando que é de conhecimento geral que as agências policiais podem rastrear telefones com um mandado de prestadores de serviços, coletores de IMSI ou até recentemente através de outras empresas que vendem dados de localização como um chamado Securus, pelo menos uma empresa, chamada Microbilt, está vendendo serviços de geolocalização por telefone com pouca supervisão a uma variedade de diferentes setores privados, variando de vendedores de automóveis e gerentes de propriedades a fiança e caçadores de recompensas, de acordo com fontes familiarizadas com os produtos e documentos da empresa obtido pela placa-mãe. Combinando essa prática comercial altamente questionável, essa capacidade de espionagem também está sendo revendida para outras pessoas no mercado negro que não são licenciadas pela empresa para usá-la, inclusive eu, aparentemente sem o conhecimento da Microbilt.

A investigação da placa-mãe mostra o quão expostas são as redes móveis e os dados que elas geram, deixando-as abertas à vigilância de cidadãos comuns, perseguidores e criminosos, e ocorre quando os meios de comunicação e os políticos estão prestando mais atenção do que nunca à localização e outros dados confidenciais é coletado e vendido. A investigação também mostra que uma grande variedade de empresas pode acessar dados de localização de telefones celulares, e que as informações chegam de provedores de telefonia celular a uma grande variedade de players menores, que não necessariamente possuem as salvaguardas corretas para proteger esses dados. .

"As pessoas estão revendendo para as pessoas erradas", disse a fonte da indústria de fiança que sinalizou a empresa para a Motherboard. A placa-mãe concedeu anonimato à fonte e a outras pessoas nesta história para falar mais abertamente sobre uma capacidade de vigilância controversa.

Seu celular está em constante comunicação com torres de telefones celulares próximas, para que seu provedor de telecomunicações saiba para onde encaminhar chamadas e mensagens de texto. A partir disso, as empresas de telecomunicações também calculam a localização aproximada do telefone com base em sua proximidade com essas torres.

Embora muitos usuários possam desconhecer a prática, as empresas de telecomunicações nos Estados Unidos vender acesso aos dados de localização de seus clientes para outras empresas, chamadas agregadores de localização, que depois o vendem para clientes e setores específicos. No ano passado, um agregador de local chamado LocationSmart enfrentou duras críticas por vender dados que acabaram nas mãos da Securus, uma empresa que forneceu rastreamento por telefone para execução de baixo nível sem exigir um mandado. O LocationSmart também expôs os mesmos dados que estava vendendo através de um painel de site de buggy, o que significa que qualquer pessoa poderia geolocalizar praticamente qualquer telefone nos Estados Unidos com um clique do mouse.

Existe uma cadeia de suprimentos complexa que compartilha alguns dos dados mais confidenciais dos usuários de celulares americanos, com as empresas de telecomunicações potencialmente desconhecendo como os dados estão sendo usados ​​pelo usuário final final, ou mesmo de quem são as mãos. usar dados de localização do telefone para detectar fraude; empresas de assistência rodoviária usam-no para localizar clientes presos. Mas a AT&T, por exemplo, disse ao Motherboard que o uso de dados de seus clientes por caçadores de recompensas vai explicitamente contra as políticas da empresa, levantando questões sobre como a AT&T permitiu a venda para esse fim em primeiro lugar.

“A alegação aqui violaria nosso contrato e Política de Privacidade”, disse um porta-voz da AT&T ao Motherboard por e-mail.

No caso do telefone que rastreamos, seis entidades diferentes tinham acesso potencial aos dados do telefone. A T-Mobile compartilha dados de localização com um agregador chamado Zumigo, que compartilha informações com a Microbilt. A Microbilt compartilhou esses dados com um cliente usando seu produto de rastreamento de celular. O caçador de recompensas compartilhou essas informações com uma fonte do setor de fianças, que as compartilhou com a Motherboard.

Leia a história completa aqui…