T-Mobile, Sprint en AT&T verkopen toegang tot de locatiegegevens van hun klanten, en die gegevens komen terecht in de handen van premiejagers en anderen die niet bevoegd zijn om het te bezitten, waardoor ze de meeste telefoons in het land kunnen volgen.
Nerveus gaf ik een premiejager een telefoonnummer. Hij had aangeboden om een telefoon voor mij te geoloceren, met behulp van een schaduwrijke, over het hoofd geziene service die niet bedoeld was voor de politie, maar voor particulieren en bedrijven. Gewapend met alleen het nummer en een paar honderd dollar, zei hij dat hij de huidige locatie van de meeste telefoons in de Verenigde Staten kon vinden.
De premiejager stuurde het nummer naar zijn eigen contactpersoon, die de telefoon zou volgen. De contactpersoon reageerde met een screenshot van Google Maps, met een blauwe cirkel die de huidige locatie van de telefoon aangeeft, ongeveer een paar honderd meter.
Queens, New York. Meer specifiek toonde de screenshot een locatie in een bepaalde buurt - slechts een paar blokken van waar het doel was. De jager had de telefoon gevonden (het doelwit gaf toestemming aan Moederbord om te worden gevolgd via hun T-Mobile-telefoon.)
De premiejager deed dit allemaal zonder een hacktool te gebruiken of enige voorkennis te hebben van de locatie van de telefoon. In plaats daarvan vertrouwt de trackingtool op real-time locatiegegevens die aan premiejagers worden verkocht en die uiteindelijk afkomstig zijn van de telco's zelf, waaronder T-Mobile, AT&T en Sprint, zo blijkt uit een onderzoek van Motherboard. Deze bewakingsmogelijkheden worden soms verkocht via mond-tot-mond-netwerken.
Hoewel het algemeen bekend is dat wetshandhavingsinstanties telefoons kunnen volgen met een bevel voor serviceproviders, IMSI-catchers of tot voor kort via andere bedrijven die locatiegegevens verkopen zoals een die Securus wordt genoemd, ten minste één bedrijf, Microbilt genaamd, verkoopt telefonische geolocatiediensten met weinig toezicht op een spreiding van verschillende particuliere industrieën, variërend van autoverkopers en onroerendgoedbeheerders tot borgtochtjagers en premiejagers, volgens bronnen die bekend zijn met de producten en bedrijfsdocumenten van het bedrijf verkregen door moederbord. Samen met dat al zeer twijfelachtige bedrijfspraktijk, wordt deze spionagecapaciteit ook doorverkocht aan anderen op de zwarte markt die geen licentie van het bedrijf hebben om het te gebruiken, waaronder ik, schijnbaar zonder medeweten van Microbilt.
Moederbord's onderzoek laat zien hoe bloot mobiele netwerken en de gegevens die ze genereren zijn, waardoor ze openstaan voor surveillance door gewone burgers, stalkers en criminelen, en komt omdat media en beleidsmakers meer dan ooit aandacht besteden aan hoe locatie en andere gevoelige gegevens wordt verzameld en verkocht. Het onderzoek toont ook aan dat een breed scala aan bedrijven toegang heeft tot locatiegegevens van mobiele telefoons, en dat de informatie van mobiele telefoonaanbieders naar een breed scala van kleinere spelers sijpelt, die niet noodzakelijk de juiste waarborgen hebben om die gegevens te beschermen .
"Mensen verkopen aan de verkeerde mensen," zei de borgtocht-industriebron die het bedrijf naar Motherboard markeerde. Moederbord verleende de bron en anderen in dit verhaal anonimiteit om openhartiger te praten over controversiële bewakingsmogelijkheden.
Uw mobiele telefoon communiceert voortdurend met torens in de buurt van uw mobiele telefoon, zodat uw telecomprovider weet waar gesprekken en sms'jes naartoe moeten worden geleid. Hieruit bepalen telecombedrijven ook de geschatte locatie van de telefoon op basis van de nabijheid van die torens.
Hoewel veel gebruikers zich misschien niet bewust zijn van de praktijk, zijn telecombedrijven in de Verenigde Staten verkoop toegang tot locatiegegevens van hun klanten aan andere bedrijven, locatieaggregators genoemd, die het vervolgens verkopen aan specifieke klanten en industrieën. Vorig jaar werd één locatie-aggregator genaamd LocationSmart geconfronteerd met harde kritiek voor het verkopen van gegevens die uiteindelijk in handen kwamen van Securus, een bedrijf die telefonische tracking bood naar laag niveau handhaving zonder een bevel te vereisen. LocationSmart onthulde ook de gegevens die het verkocht via een buggy-websitepaneel, wat betekent dat iedereen bijna elke telefoon in de Verenigde Staten kan geoloceren met een muisklik.
Er is een complexe supply chain die enkele van de meest gevoelige gegevens van Amerikaanse gsm-gebruikers deelt, waarbij de telco's mogelijk niet op de hoogte zijn van hoe de gegevens worden gebruikt door de uiteindelijke eindgebruiker, of zelfs wiens handen het landt. Financiële bedrijven gebruik telefoon locatiegegevens om fraude op te sporen; pechhulpverleners gebruiken het om vastzittende klanten op te sporen. Maar AT&T, bijvoorbeeld, vertelde Motherboard dat het gebruik van de gegevens van zijn klanten door premiejagers expliciet in strijd is met het beleid van het bedrijf, en riep vragen op over hoe AT&T de verkoop voor dit doel in de eerste plaats toestond.
"De aantijging hier zou in strijd zijn met ons contract en ons privacybeleid", vertelde een woordvoerder van AT&T in een e-mail aan Motherboard.
In het geval van de telefoon die we hebben gevolgd, hadden zes verschillende entiteiten potentiële toegang tot de gegevens van de telefoon. T-Mobile deelt locatiegegevens met een aggregator genaamd Zumigo, die informatie deelt met Microbilt. Microbilt deelde die gegevens met een klant die zijn tracking-product voor mobiele telefoons gebruikte. De premiejager deelde deze informatie vervolgens met een bron van de borgtochtindustrie, die deze met Motherboard deelde.