Atualização # 2, 8 de fevereiro de 2019 (10h15 ET):Ouvimos da AT&T esta manhã sobre o escândalo de dados de localização descrito abaixo. A AT&T também diz que está encerrando todas as associações com serviços agregadores de localização:

Não temos conhecimento de qualquer uso indevido deste serviço que terminou há dois anos. Já decidimos eliminar todos os serviços de agregação de local - incluindo aqueles com benefícios claros para o consumidor - após relatos de uso indevido por outros serviços de local que envolvem agregadores.

Isso significa que duas das três transportadoras implicadas emitiram respostas a (A Sprint nos disse anteriormente que estava encerrando suas associações com agregadores de dados, veja abaixo).

Aqui está a declaração da T-Mobile na íntegra:

Temos sido transparentes quanto ao encerramento de todos os nossos serviços agregadores de local e estamos quase concluindo esse processo. Estamos trabalhando para reduzi-lo de forma responsável, que não impactará os clientes que usam esses serviços para serviços como assistência de emergência. Levamos a sério a privacidade e a segurança de nossos clientes e fomos o primeiro provedor de serviços sem fio a se comprometer a encerrar esses serviços até março.

Adicionaremos uma segunda atualização a este artigo, caso recebamos uma resposta da AT&T.

Artigo original, 7 de fevereiro de 2019 (18:01 ET):Em janeiro,Placa-mãe publicou um artigo que descreve como os caçadores de recompensa são capazes de obter facilmente dados de localização de um usuário de smartphone comprando as informações de fontes nefastas. Essas fontes, por sua vez, obtêm suas informações diretamente de três das quatro maiores operadoras de celular do país.

Nesse artigo, umPlaca-mãe o jornalista detalha como pagou a um caçador de recompensas US $ 300 para encontrar seu telefone, o que o caçador fez com muita facilidade.

As operadoras de telefonia móvel, em resposta a esse flagrante desrespeito à privacidade do usuário, disseram que essas situações são incomuns e representam um problema marginal.

Agora, um mês depois,Placa-mãe publicou um novo artigo sobre o mesmo tópico, desta vez deixando claro que esse problema é muito, muito maior do que pensávamos originalmente.

Havia centenas de pessoas comprando dados do usuário às dezenas de milhares por preços relativamente baixos.

Segundo o relatório, centenas de organizações de caçadores de recompensas e de fiança usaram uma empresa chamada CerCareOne para comprar dados de localização para clientes sem fio na Sprint, AT&T e T-Mobile. Alguns desses caçadores de recompensas usaram o serviço dezenas de milhares de vezes, com uma firma de fiança usando o serviço pelo menos 18.000 vezes.

A evidência para isso deriva da documentação interna do CerCareOne. A empresa fechou em 2017.

A cadeia de fontes para obter dados de localização do usuário não era tão longa. Uma empresa agregadora de dados chamada Locaid (mais tarde LocationSmart, sobre a qual escrevemos anteriormente quando se trata de manipulação incorreta de dados do usuário) obtém acesso legal aos dados de localização do usuário das operadoras sem fio. Empresas como a Locaid vendem o acesso a esses dados a outras empresas que desejam acompanhar seus funcionários. Para obter esse acesso, empresas como a Locaid precisam concordar em não usar os dados de localização para qualquer outra finalidade.

A CerCareOne obteve acesso aos dados da Locaid de qualquer maneira e os revendeu diretamente para caçadores de recompensas e empresas de fianças. No contrato que um caçador de recompensas assinaria para obter dados sobre um indivíduo, uma cláusula afirma claramente que eles devem manter em segredo a própria existência do CerCareOne.

Os caçadores de recompensa pagariam preços tão altos quanto US $ 1.100 pelos dados de localização do usuário.

Em alguns casos, os compradores tinham acesso a dados precisos de GPS para um usuário, não apenas aos dados de conexão da torre de celular.

Para ficar claro, não são apenas informações sobre o possível paradeiro de uma pessoa com base em suas conexões com várias torres de celular. Em alguns casos, os caçadores de recompensa tinham acesso aos dados do GPS, permitindo saber a localização quase exata que uma pessoa estava em um determinado momento.

Entramos em contato com a AT&T, T-Mobile e Sprint sobre essas novas informações. Somente a Sprint nos retornou até agora, com uma declaração muito breve proclamando que a empresa decidiu encerrar seus acordos com agregadores de dados como Locaid / LocationSmart. No entanto, já ouvimos isso antes.

Atualizaremos este artigo se recebermos resposta de qualquer outra operadora de celular envolvida nesse escândalo.