Como um relatório chocante da Motherboard prova, no entanto, eles nem conseguem fazer isso direito.
A Securus, uma empresa que compra dados de localização de smartphones das principais empresas de telecomunicações dos EUA e vende esses dados para a aplicação da lei, foi hackeada. O hacker enviou documentos para a Motherboard, provando que ele havia acessado as informações da conta de milhares de policiais que estavam usando o servidor para rastrear telefones.
Um artigo do New York Times no início deste mês revelou o serviço Securus e levou o senador democrata Ron Wyden, do Oregon, a exigir uma investigação pela FCC. Em um exemplo brilhante de responsabilidade corporativa, um representante da Securus disse ao New York Times que "a Securus não é um juiz nem um promotor público, e a responsabilidade de garantir a adequação legal da documentação de suporte cabe aos nossos clientes e seus advogados". Se um policial diz que sua pesquisa é legal, é legal!
Antes de ser invadido por um hacker anônimo, os dados coletados pela empresa já estavam sendo usados de maneira questionável (além de rastrear cidadãos particulares). De fato, um ex-xerife do Condado de Mississippi, Missouri, Cory Hutcheson, usou o serviço para rastrear juízes locais e outros agentes da lei.
Para recapitular, esta é uma empresa que coleta os locais de cidadãos particulares, vende esses dados para a aplicação da lei e não sente obrigação de garantir que os dados sejam usados legalmente. Além disso, sua segurança cibernética era tão frágil que a empresa foi invadida menos de uma semana depois que a existência de seu serviço legalmente questionável e antiético foi exposta ao público.
O que isso significa para cidadãos particulares
Sempre que há uma discussão sobre a importância da privacidade on-line diante da vigilância do governo, alguém costuma insistir: “Por que devo me importar? Não tenho nada a esconder!" Existem muitos problemas com esse argumento, mas o caso da Securus nos mostra que há um que vai direto ao ponto - os governos não podem ser confiáveis com seus dados privados.
O governo não é uma entidade única, homogênea e infalível. Consiste em pessoas, e as pessoas cometem erros. Algumas dessas pessoas têm segundas intenções. Outros até abusam de sua autoridade para cometer crimes. Às vezes, o governo solicita que empresas privadas como a Securus executem serviços para elas, como manipular seus dados de localização. Até a NSA possui contratados particulares que lidam com grandes quantidades de dados.
Você pode ou não confiar "ao governo" com seus dados de localização, mas confia nos funcionários da Securus (uma empresa privada) com seus dados? E os policiais, como Cory Hutcheson, que pareciam estar usando o serviço de rastreamento para monitorar pessoas muito além do alcance pretendido? Se Cory fosse um xerife local que tivesse ressentimento contra você e sua família, você ainda confiaria no "governo" os dados pessoais de localização de sua família?
E nem chegamos ao enorme fracasso na prestação de contas de segurança cibernética que esse desastre representa! Nos documentos fornecidos à Motherboard, o hacker provou que havia acessado as informações de login de guardas da prisão, administradores, agentes penitenciários e outros agentes da lei - "o governo". Eles também indicaram que o hack foi "relativamente simples", embora nenhum detalhe adicional tenha sido publicado.
Só podemos esperar que o único objetivo do hacker tenha sido a exposição desse manuseio grosseiro de dados privados, mas e se não fosse? E se os dados fossem acessados por criminosos maliciosos ou por um estado hostil aos EUA? Você ainda confiaria "o governo" com seus dados privados? Você deve esperar que o governo dê uma alta prioridade aos dados confidenciais e, em alguns casos (como os militares), você pode estar certo - mas nossos dados particulares são considerados dados confidenciais? Apenas alguns dias atrás, a Casa Branca eliminou a posição do coordenador de segurança cibernética, e é improvável que isso tenha sido feito devido a um profundo desejo de maior segurança cibernética.
Como ocultar sua localização
Infelizmente, este é um osso duro de roer quando se trata de smartphones. Não há como impedir que seu telefone seja rastreado enquanto permanece conectado à sua rede e capaz de receber e fazer chamadas. Se esse segundo ponto não for um problema, desligue o telefone, deixe-o em casa ou ative o modo avião.
Desativar as configurações de localização tornará mais difícil descobrir sua localização, mas não impossível. Para manter uma conexão constante, os telefones modernos sempre tentam permanecer conectados a pelo menos três torres de telefones celulares. Enquanto isso for verdade, seu provedor de serviços (e, por extensão, o governo) poderá triangular sua localização aproximada em vários graus de precisão.
ATUALIZAR:
Há um ator adicional nessa história, e a vulnerabilidade de segurança relatada originalmente foi ainda pior do que se pensava anteriormente.
A Securus comprou dados de localização da LocationSmart, uma empresa que coleta dados de localização de telecomunicações e os vende para uma ampla variedade de empresas diferentes. Quase qualquer pessoa disposta a pagar pode rastrear sua localização!
No entanto, o pesquisador de segurança cibernética Robert Xiao descobriu que há uma maneira ainda mais fácil. Ele revelou uma façanha em que a demonstração gratuita da empresa poderia ser usada para descobrir a localização exata de um telefone celular, mesmo sem fazer login. Qualquer pessoa, a qualquer momento, por qualquer motivo, poderia usar sua plataforma para rastrear a localização exata de alguém. Ele até testou em seus amigos!
Essas informações foram publicadas em um relatório do jornalista de segurança cibernética Brian Krebs somente após a correção da violação. No entanto, ajuda a reforçar o ponto de que muitas instituições poderosas não estão sendo sérias o suficiente sobre a proteção de dados confidenciais e que a coleta de dados governamentais não pode ser confiável.
