美运营商再陷隐私争议:偷向第三方客户手机数据
美无线运营商 Verizon 又一次陷入了隐私争议,其被发现于 2015 年在所谓的“唯一标示符头信息”(UIDH / 一组大约 50 位的字符串)中使用了一个“permcookie”,使得它可以追踪订阅者并用于广告目的。最终,该公司给出了允许用户推出 UIDH 系统的选项,且随后被联邦通讯委员会重罚。Shotwell Labs 联合创始人 Philip Neustrom 发现了一个演示网站,当通过移动数据连接访问的时候,它会报告出数量惊人的个人数据。
数据中包含了你的全名、手机号码、合约细节、以及地理(通过基站定位,因而不需要 GPS 即可获取)。Philip Neustrom 给出了两个示例网站,分别是 Danal 和 Payfone 。这两个网站会使用手机用户的 IP 地址,检索由运营商提供的电话号码和账单信息。显然,Verizon 和 AT&T 都提供了类似的应用程序接口(API),以访问“唯一标示符”(UIDH)和“移动身份 API”。需要指出的是,用这些 API 来检测属于范畴(金融机构可使用这些数据来验证是否为你的账户),但 TechCrunch 的 Devin Coldewey 在联系 Payfone CEO Rodger Desai 后得知:我们有一套非常严格的安全框架,并且赞成数据隐私。问题主要在于会有欺诈者混进来,比如你今天下载了一款手机银行 app,但银行无法确定你就是你。
你可能拿到了一部新手机,或者有人在是你 欺诈者只需知道你的银行密码即可操作。不过 Verizon 的问题在于没有征求客户的同意,更糟糕的是,在使用了 AT&T 的推出选项之后,事情似乎没有发生任何变化。
Philip 和其它报告都称,在等了页面推荐的 48 个小时之后,上述网站任然可以提取他们的个人数据。