Se han proporcionado los detalles de inicio de sesión de una empresa que compra datos de ubicación de teléfonos de las principales compañías de telecomunicaciones y luego los vende a la policía.
De acuerdo a expertos en seguridad informatica, un hacker irrumpió en los servidores de Securus, la compañía que permite rastrear casi cualquier teléfono, y que un senador de Estados Unidos ha exhortado a las autoridades federales a investigar. El hacker proporciono los datos robados a Motherboard, incluyendo los nombres de usuario y contraseñas poco seguras para miles de clientes de Securus.
Aun no es claro cuántos de estos clientes están utilizando el servicio de Securus, estas noticias son una señal de la seguridad laxa de una empresa que otorga un poder excepcional para vigilar a las personas.
“Los agregadores de ubicación son, uno de los objetivos de hackeo más jugosos imaginables”, dijo Thomas Rid, profesor de estudios estratégicos de la Universidad Johns Hopkins.
Recientemente, por investigación del New York Times se dio a conocer que Securus obtiene datos de ubicación del teléfono de las principales compañías de telecomunicaciones, como AT & T, Sprint, T-Mobile y Verizon, y luego pone esta información a disposición de sus clientes. El sistema de obtención de los datos, normalmente es utilizado por especialistas en marketing, pero Securus proporciona un producto para que las fuerzas policiacas rastreen los teléfonos a nivel nacional con poca supervisión legal.
El hacker proporcionó a Motherboard varios archivos internos de la compañía. Una hoja de cálculo de una base de datos marcada como “policía”, la cual incluye más de 2,800 nombres de usuario, direcciones de correo electrónico, números de teléfono y contraseñas hash y preguntas de seguridad. Los hashes se crearon utilizando el algoritmo MD5 notoriamente débil, lo que se traduce en que los atacantes podrían obtener la contraseña real de un usuario. De acuerdo con expertos en seguridad informatica, algunas de las contraseñas se han descifrado y se han incluido en la hoja de cálculo. No está claro si el hacker que proporcionó los datos descifró estas supuestas contraseñas o si Securus las almacenó de esta manera.
Una gran cantidad de usuarios en la hoja de cálculo provienen de organismos del gobierno, Incluidos los departamentos de policía locales, condados locales y la policía de la ciudad. Las ciudades afectadas incluyen Minneapolis, Phoenix e Indianápolis entre otras. Los datos también incluyen a los miembros del personal de Securus, así como a los usuarios con direcciones de correo electrónico personales.
Los profesionales en seguridad informatica verificaron los datos utilizando la función de contraseña olvidada del sitio de Securus. Cuando se le presentó un nombre de usuario y una dirección de correo electrónico a partir de los datos hackeados, el sitio avanzó a la siguiente etapa del proceso de restablecimiento de contraseña, confirmando que esas credenciales están almacenadas dentro de los sistemas de Securus.
No es claro cuántos de estos usuarios tienen acceso al servicio de localización telefónica de Securus. Pero parte de los datos indican que muchos usuarios trabajarán en cárceles: algunos de los usuarios están marcados como “administrador de la cárcel”, “capitán de la cárcel” y “alcaide adjunto”.
El sitio web de Securus dice “Realice un seguimiento de los dispositivos móviles incluso cuando el GPS esté apagado”. “Registros de detalles de llamadas que proporcionan datos de originación de llamada y ubicación geográfica de terminación de llamadas”. Este es el producto que está siendo abusado por oficiales de la ley.
“Securus permite el seguimiento sin una orden judicial y permite a los usuarios reclamar autorización para hacerlo sin verificarlo. Eso es un problema “, dijo Andrew Crocker, abogado del grupo de campaña Electronic Frontier Foundation. Un hacker que tenga acceso a una lista de usuarios de Securus y sus datos de inicio de sesión podría ser particularmente peligroso.
Esta última violación de datos no es la única señal de que Securus es descuidado con la información confidencial. En manual de usuario de Securus disponible en línea, una parte muestra un mapa y una interfaz de usuario para un producto de Securus, pero en vez de llenar la pantalla con datos falsos para fines de demostración, la guía parece incluir el nombre real, la dirección y el número de teléfono de una mujer en particular.
“La exposición PII en la guía pública del usuario plantea una pregunta: ¿Securus tiene la cultura y los procedimientos establecidos para proteger la PII sensible? La respuesta parece ser no “, dijo Rid.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
