Verizon está cortando el acceso a las ubicaciones en tiempo real de sus clientes móviles a dos corredores de datos de terceros “para evitar el uso indebido de esa información en el futuro”. La compañía anunció la decisión en una carta enviada al Senador Ron Wyden (D-OR), quien junto con otros ayudaron a revelar el uso inadecuado y la falta de seguridad en estos corredores de ubicación. Sin embargo, no se trata de salir del negocio de compartir ubicaciones por completo.
(Actualizar: AT&T y Sprint también han comenzado el proceso de finalización de sus servicios de agregación de ubicación, con una advertencia, de la cual se detalla a continuación).
Verizon vendió acceso masivo a las ubicaciones de sus clientes a los corredores en cuestión, LocationSmart y Zumigo, que luego dieron la vuelta y revendieron esos datos a docenas de otras compañías. Esto no es necesariamente malo: hay muchas ocasiones en las que la ubicación es necesaria para brindar un servicio que solicita el cliente, y supuestamente ese cliente tendría que aprobar el intercambio de esos datos. (Divulgación: Verizon es propietaria de Oath, que es propietaria de TechCrunch. Esto no afecta nuestra cobertura).
Ese no parece haber sido el caso del cliente de LocationSmart, Securus, que estaba vendiendo sus datos directamente a las fuerzas del orden para que pudieran encontrar clientes móviles rápidamente y sin todo el alboroto del papeleo y las órdenes judiciales. Y luego se descubrió que LocationSmart había expuesto una API que permitía a cualquier persona solicitar ubicaciones móviles de forma libre y anónima, y sin obtener consentimiento.
Cuando los investigadores de seguridad y el senador Wyden revelaron estos hechos, Verizon los investigó de inmediato, informaron en una carta enviada al Senador.
“Llevamos a cabo una revisión exhaustiva de nuestro programa de agregador de ubicaciones”, escribió la CTO de Verizon, Karen Zacharia. “Como resultado de esta revisión, estamos iniciando un proceso para rescindir nuestros acuerdos existentes para el programa de agregación de ubicación”.
“No entraremos en nuevos acuerdos de agregación de ubicación a menos y hasta que estemos seguros de que podemos proteger adecuadamente los datos de ubicación de nuestros clientes a través de avances tecnológicos y/u otras prácticas”, escribió más adelante en la carta. En otras palabras, el programa está congelado hasta que se pueda asegurar.
Aunque Verizon afirma haber “dotado” al sistema con “mecanismos diseñados para proteger contra el uso indebido de los datos de ubicación de nuestros clientes”, los abusos en cuestión claramente pasaron desapercibidos. Quizás lo más notable es el simple hecho de que Verizon no parece necesitar que se le informe si un cliente ha dado su consentimiento para que se sondee su ubicación. Ese cobro es responsabilidad del “agregador o cliente corporativo”.
En otras palabras, Verizon no necesita preguntarle al cliente, y la empresa a la que vende los datos al mayorista no necesita preguntarle al cliente; el requisito recae en la empresa que compra el acceso al mayorista. En el caso de Securus, había abstraído las cosas un paso más allá, permitiendo a las fuerzas del orden público acceso total cuando dijo que tenía autoridad para hacerlo, pero aparentemente sin verificar, escribió AT&T en su propia carta al Senador Wyden.
Y había otros 75 clientes corporativos. No te preocupes, alguien los está siguiendo. ¿Derecha?
Estos procesos son auditados, escribió Verizon, pero aparentemente no es una auditoría que encuentre cosas como el abuso por parte de Securus o una API mal protegida. Quizás cómo sucedió esto se encuentra entre la “cantidad de preguntas internas” planteadas por la revisión.
Cuando se le pidió un comentario, un representante de Verizon ofreció la siguiente declaración:
Cuando estos problemas nos llamaron la atención, tomamos medidas inmediatas para detenerlo. La privacidad y la seguridad del cliente siguen siendo una prioridad para nuestros clientes y nuestra empresa. Respaldamos ese compromiso con nuestros clientes.
Y, de hecho, aunque el programa en sí parece haber sido ejecutado con una laxitud que debería alarmar a todos aquellos clientes por los que Verizon afirma estar tan preocupado, algunos de los competidores de la compañía aún no han tomado medidas similares. AT&T, T-Mobile y Sprint también fueron nombrados por LocationSmart como socios. Sus propias cartas al Senador Wyden enfatizaron que sus sistemas eran similares a los demás, con salvaguardas similares (que fueron eludidas de manera similar).
En un comunicado de prensa Al anunciar que su presión sobre Verizon había dado sus frutos, el senador Wyden llamó a los demás a dar un paso al frente:
Verizon merece crédito por tomar medidas rápidas para proteger la privacidad y seguridad de sus clientes. Después de que mi investigación y los informes de seguimiento revelaran que los intermediarios venden la ubicación de los estadounidenses al mejor postor sin su consentimiento, o la ponen a disposición en portales web inseguros, Verizon hizo lo responsable y anunció de inmediato que cortaría a estas empresas. En contraste, AT&T, T-Mobile y Sprint parecen contentarse con seguir vendiendo la información privada de sus clientes a estos intermediarios turbios, maldita sea la privacidad de los estadounidenses.
AT&T en realidad anunció que también terminará sus acuerdos, luego de que se publicara el llamado a la acción del Senador Wyden, y Sprint lo siguió poco después. AT&T dijo que “terminará [its] trabaje con estos agregadores para estos servicios tan pronto como sea práctico de una manera que preserve los servicios importantes y que pueden salvar vidas, como la asistencia de emergencia en la carretera”. Sprint dejó de trabajar con LocationSmart el mes pasado y ahora está “comenzando el proceso de rescindir sus contratos actuales con agregadores de datos a quienes proporcionamos datos de ubicación”.
¿Qué falta en estas declaraciones? Entre otras cosas: con qué y con cuántas empresas están trabajando, si buscarán contratos futuros y qué cambios reales se realizarán para evitar problemas futuros como este. Dado que han estado en esto durante mucho tiempo y han tenido un mes para reflexionar sobre su próximo curso de acción, no creo que sea irrazonable esperar más que una declaración cuidadosamente redactada sobre “estos agregadores para estos servicios”.
El director ejecutivo de T-Mobile, John Legere, tuiteó que la compañía “no venderá datos de ubicación de clientes a intermediarios turbios”. Por supuesto, eso realmente no significa nada. Espero promesas sustantivas de la empresa relacionadas con este “compromiso”.
Mientras tanto, la FCC ha anunciado que está investigando el problema, con la desventaja considerable de que el presidente Ajit Pai representó a Securus en 2012 cuando trabajaba como abogado. El senador Wyden le ha pedido que se recuse, pero eso aún no ha sucedido.
Le pedí a Verizon más aclaraciones sobre sus arreglos y planes, específicamente si tiene otros acuerdos para compartir ubicación con otras compañías. Estos no son, después de todo, los únicos jugadores en el juego.
Source link