En un caso que puede implicar posibles violaciones de la privacidad de miles de personas, los investigadores han descubierto que el fabricante de software espía israelí NSO Group recurrió al uso de datos de ubicación de teléfonos de personas reales mientras mostraba su software de rastreo de contactos Covid-19 a gobiernos y periodistas, informó TechCrunch.
NSO Group lanzó su tecnología de rastreo de contactos llamada “Fleming” en marzo de 2020 en medio de un aumento de casos de Covid-19 en todo el mundo.
Dos meses después, una base de datos perteneciente al programa Fleming fue encontrada desprotegida en línea.
La base de datos contenía más de cinco lakh de puntos de datos para más de 30.000 teléfonos móviles distintos.
El Grupo NSO aseguró rápidamente la base de datos cuando TechCrunch informó, pero la compañía israelí negó que hubiera una violación de seguridad.
Forensic Architecture, una unidad académica de Goldsmiths, Universidad de Londres, recibió y analizó una muestra de la base de datos expuesta, lo que sugirió que los datos se basaban en datos personales “reales” pertenecientes a civiles desprevenidos, poniendo en riesgo su información privada.
“La muestra de la base de datos expuesta que recibimos tiene más de 149.000 puntos de datos … Investigamos la naturaleza de los datos: si se basaba en datos personales” reales “pertenecientes a muchos civiles desprevenidos y, de ser así, si estaba correctamente ofuscado en un forma de proteger las identidades privadas, o si se trataba de datos “ficticios”, dijeron los investigadores el miércoles.
“Las ‘irregularidades’ espaciales en nuestra muestra, una firma común de pistas de ubicación móviles reales, respaldan aún más nuestra evaluación de que se trata de datos reales. Por lo tanto, lo más probable es que el conjunto de datos no sea ‘ficticio’ ni datos generados por computadora, sino que refleje el movimiento de individuos reales, posiblemente adquiridos de proveedores de telecomunicaciones o de una fuente de terceros “.
Los datos expuestos incluían información de ubicación de Ruanda, Israel, Arabia Saudita, los Emiratos Árabes Unidos y Bahréin, dijeron los investigadores.
El software de rastreo de contactos Covid-19 de NSO está diseñado para facilitar a los gobiernos la visualización y el seguimiento de la propagación del virus al proporcionar datos de ubicación de las compañías de telefonía celular. Lanzó agresivamente el sistema a principios de este año.
NSO es más conocido por ‘Pegasus’, un malware vendido a los gobiernos para permitir la infección remota y la vigilancia de teléfonos inteligentes privados.