Giao diện trang web của công ty LocationSmart – Ảnh: ZDNET
Theo trang tin Zdnet, lỗ hổng kỹ thuật này khiến bất cứ ai cũng có thể biết được vị trí chính xác trong thực tế của một ai khác mà không cần sự cho phép của họ.
Mới đầu tuần này chính trang Zdnet cũng đã đăng tải thông tin cho biết 4 trong số các nhà mạng di động lớn nhất tại Mỹ đang bán dữ liệu vị trí theo thời gian thực của khách hàng cho một công ty mà người dùng có thể chưa từng nghe thấy tên tuổi trước đó.
Công ty LocationSmart là công ty đó. Đây là đơn vị chuyên thu thập thông tin dữ liệu và tuyên bố có “những quan hệ trực tiếp” với các nhà mạng di động, có thể nhận được dữ liệu về vị trí thực của người dùng từ các tháp di động ở gần.
Trang web của công ty này có một trang “thử trước khi mua” cho phép khách hàng có cơ hội trải nghiệm độ chính xác của dữ liệu họ có trước khi bỏ tiền túi ra mua dịch vụ do công ty cung cấp.
Trang này đã gửi yêu cầu xin phép người dùng trước khi có thể sử dụng dữ liệu vị trí của họ bằng cách gửi tin nhắn một lần tới họ.
Khi Zdnet tiến hành dùng thử dịch vụ với một cộng sự của họ, họ đã theo dõi anh này thông qua điện thoại của anh tới một tòa nhà trong thành phố là nơi có mặt thực sự của anh ta.
Tuy nhiên trang web này lại có một lỗ hổng bảo mật cho phép bất cứ ai cũng có thể ngấm ngầm theo dõi vị trí thực của một người khác mà không cần sự đồng ý của họ.
“Do một lỗ hổng bảo mật rất đơn giản trên trang web, bạn có thể bỏ qua bước xin phép và đi thẳng tới phần dữ liệu vị trí người dùng”, ông Robert Xiao, nghiên cứu sinh tại Viện tương tác người – máy tính của Đại học Carnegie Mellon cho biết.
“Điều có thể suy luận ở đây là công ty LocationSmart chưa bao giờ yêu cầu phải có sự đồng ý trước tiên”, ông Xiao nói. “Dường như không có sự giám sát bảo mật ở đây”.
Sau khi ông Xiao gửi cảnh báo riêng tới công ty LocationSmart, công ty này đã rút bỏ trang “dùng thử dịch vụ” trên website của họ.
Theo ông Xiao, lỗ hổng bảo mật này có thể khiến gần như mọi khách hàng dùng điện thoại di động ở Mỹ và Canada, khoảng 200 triệu người, đều có thể bị lộ thông tin vị trí thực.
Theo Tuổi trẻ
