Dört yıllık soruşturmanın ardından Federal İletişim Komisyonu (FCC), ABD’deki büyük kablosuz operatörlerden dördünün, müşterilerin konum verilerine erişimi paylaşma konusunda yasayı ihlal ettiği sonucuna vardı.
FCC, AT&T, Sprint, T-Mobile ve Verizon’a “müşterilerin konum bilgilerine erişimi izinsiz olarak ve bu bilgileri yetkisiz ifşaya karşı korumak için makul önlemler almadan yasa dışı olarak paylaştığı” gerekçesiyle toplamda yaklaşık 200 milyon dolar para cezası verdi.
Cezalar Sprint için 12 milyon dolar, T-Mobile (şu anda Sprint ile birleşmiştir) için 80 milyon dolar, AT&T için 57 milyon dolardan fazla ve Verizon için neredeyse 47 milyon dolar olarak bölünmüş durumda.
Basın bülteninden, FCC’nin gerçek zamanlı konum verilerini bir taşıyıcının sahip olduğu en hassas verilerden biri olarak kabul ettiği açıkça görülüyor. Dört büyük operatörün her birinin, müşterilerinin konum bilgilerini “toplayıcılara” sattığı ve onların da bu tür bilgilere erişimi üçüncü taraf konum tabanlı hizmet sağlayıcılara yeniden sattığı ortaya çıktı.
FCC’nin soruşturması, New York Times ve Vice.com’dakiler gibi kamuya açık raporlar ve Senatör Ron Wyden’ın FCC’ye yazdığı bir mektupla başlatıldı. Hepsi, yetkisiz bir kaynağa ödeme yapmak isteyen herkesin neredeyse her ABD telefonunun konum bilgisini alabileceğini belirtti.
FCC basın bülteninde, insanların konumlarını takip etme olanağı sağlayan bir kaynak olarak, ıslahevlerine iletişim hizmetleri sağlayıcısı olan Securus tarafından işletilen bir konum bulma hizmetinden özellikle bahsediliyor.
İletişim Yasası’nın 222. bölümü de dahil olmak üzere ABD yasaları, operatörlerin konum bilgileri de dahil olmak üzere belirli müşteri bilgilerini korumak için makul önlemler almasını gerektirir.
Kablosuz taşıyıcılar, müşteri rızasını alma yükümlülüklerini konum bilgisinin alt alıcılarına yüklemeye çalıştı. Nihai sonuç, geçerli bir müşteri onayının alınmadığı bir başarısızlıktı. Taşıyıcılar bunun farkında olmasına rağmen, konum bilgilerine erişimi, yetkisiz erişime karşı korumak için makul önlemler almadan satmaya devam ettiler.
Krebs on Security tarafından bildirildiği üzere, veri toplama firmalarından biri olan LocationSmart, Kuzey Amerika’daki hemen hemen her cep telefonunun neredeyse tam konumunu bulmak için herkesin kötüye kullanabileceği ücretsiz, güvenli olmayan bir çevrimiçi hizmet demosuna sahipti.
Verizon ve AT&T’nin sözcüleri BleepingComputer’a, başka bir şirketin onay alamamasının sorumluluğunu üstleniyormuş gibi hissettiklerini belirtti.
T-Mobile, CNN’e yaptığı açıklamada, konum verisi paylaşım programını beş yıl önce durdurduğunu söyledi. Şirket öncelikle yol yardımı, dolandırıcılığa karşı koruma ve acil durum müdahalesi gibi kritik hizmetlerin, böyle bir durumda olumsuz sonuçlara maruz kalmayacağından emin olmak istiyordu.
Her üç şirket de karara itiraz edeceklerini belirtti. Sizi yeni gelişmelerden haberdar edeceğiz.
Sadece telefon güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. iOS için Malwarebytes’i ve Android için Malwarebytes’i bugün indirerek tehditleri mobil cihazlarınızdan uzak tutun.