Спецпроекты

Безопасность Бизнес Телеком ИТ в госсекторе

Операторы торгуют геоданными абонентов, которым перемещаться нельзя под страхом огромных штрафов

Сотовых операторов США уличили в активном потворстве «не совсем законной» торговле данными о физическом расположении их абонентов в любой момент времени. Федеральная комиссия по связи делает вид, что ничего не было.

Посторонним вход разрешен

В США разгорелся грандиозный скандал по поводу продажи мобильными операторами данных о физическом местоположении их клиентов различным сомнительным организациям. Как минимум несколько раз эти данные попадали так называемым охотникам за головами — частным лицам, зарабатывающим на поиске подозреваемых, сбежавших из-под залога, или осужденных лиц, нарушивших правила условно-досрочного освобождения.

Скандал начался с расследования издания Motherboard, журналисты которого обнаружили, что AT&T, T-Mobile и Sprint за довольно скромные деньги продают на сторону данные о местоположении мобильных устройств. Фактически речь идет о черном рынке геолокационных данных.

В частности, журналисты заплатили всего $300 отдельно взятому охотнику за головами, предоставили ему номер телефона, и он успешно отследил физическое местоположение пользователя за очень непродолжительный срок. Как выяснилось, охотник воспользовался информацией с агрегатора Zumigo, который снабжает данными от сотовых операторов сервис слежения Microbilt. Тот, в свою очередь, предлагает услуги нескольким компаниям разной степени сомнительности. Как оказалось, с их помощью охотники за головами могут получить нужные им данные всего за $5 за один телефонный номер.

braslet600.jpg
Американские сотовые операторы продавали геоданные абонентов «охотникам за головами»

Публикация Motherboard вызвала большое брожение умов, в том числе, законодательных. Два сенатора жестко раскритиковали политику мобильных операторов за отсутствие адекватной защиты своих клиентов.

Sprint поспешил заявить, что сознательно не выдает геолокационные данные иначе как в ответ на запросы от правоохранительных органов, и обвинил Zumigo и Microbilt в нарушении политики использования данных оператора.

«Мы больше не будем!»

T-Mobile объявил о немедленном прекращении доступа Zumigo/Microbilt к своим данным. Также было заявлено, что оператор «находится в процессе прекращения предоставления доступа сторонним агрегаторам данных». Этот процесс должен завершиться к марту 2019 г.

Представители AT&T заявили, что компания прекратила партнерство «с большинством» агрегаторов геолокационных данных в 2018 г. и пообещали к марту 2019 г. свернуть сотрудничество со всеми остальными.

Однако все эти операторы уже давали подобные обещания. Выполнят ли они их сейчас — вопрос.

GPS повышенной точности

Еще в 1996 г., когда были представлены спецификации GPS, в них отдельным пунктом шло настоятельное требование к мобильным операторам защищать приватность пользователей в соответствии с Секцией 222 Акта (закона) о коммуникациях США. Однако в 2015 г. Федеральная комиссия по связи США (ФКС) предложила разрешить сотовым операторам собирать большее количество точных геолокационных данных в связи с тем, что абоненты все чаще предпочитают мобильную телефонию фиксированным линиям. Организации, занимающиеся защитой приватности, подняли тревогу и потребовали от ФКС обязать сотовых операторов информировать абонентов о том, что их местоположение отслеживается, и запрашивать у абонентов разрешение на передачу данных о них третьим сторонам.

После двух лет споров, мобильная отрасль опубликовала в 2017 г. «дорожную карту», в которой описывались планы по защите абонентов. Но заинтересованные стороны быстро нашли способы обходить все эти ограничения, и сами сотовые операторы, по-видимому, совсем не заинтересованы в том, чтобы принуждать кого-либо соблюдать эти правила.

Компания CerCareOne пыталась до определенного момента тщательно скрывать наличие у нее доступа к рассматриваемым данным. Всех своих партнеров она обязывала подписывать обязательство о неразглашении. За каждый случай отслеживания мобильного устройства компания взимала $1100. Но охотники за головами получают до $10 тыс. за поимку подозреваемого, скрывшегося из-под залога в $100 тыс., так что маржинальность такого бизнеса оказывается весьма высокой для всех заинтересованных сторон.

Изучение внутренних документов CerCareOne журналистами показало, что сервисом пользовались десятки тысяч раз, что подразумевает существование теневого рынка с миллионными оборотами. Сотовые операторы тут очевидно в доле, считают работники пера, причем достаточной, чтобы принимать риск оскандалиться.

Активное бездействие

«В отрасли информбезопасности уже который год говорят о том, что приватность — это уже сугубо символическое понятие, — говорит Олег Галушкин, директор по информационной безопасности компании SECConsultServices. — Каждый пользователь коммуникационных сетей ежедневно производит колоссальное количество данных, часто не подозревая об этом. Возможностей контролировать эти данные на сегодняшний день у пользователей очень немного, заинтересованности в таком контроле — тоже. Зато все эти сведения вызывают живейший интерес у множества структур, готовых за них платить. Для телекомов это источник громадных доходов, с которыми они не готовы расставаться. Скорее наоборот, со временем они будут пытаться пролоббировать — в США и где бы то ни было еще — изменения в законодательстве, чтобы вообще не испытывать никаких проблем с перепродажей любых данных о своих клиентах».

Отметим, что буквально на днях ФКС опубликовала новое предложение, разрешающее операторам собирать и предоставлять третьим сторонам еще более точные GPS-данные о пользователях, чем сейчас. Формально — только для использования в экстренных ситуациях.

Роман Георгиев

Короткая ссылка