Een kwetsbaarheid in een app van telecombedrijf Verizon Wireless maakte het mogelijk om de gespreksgegevens van miljoenen Amerikaanse klanten te achterhalen, zo ontdekte beveiligingsonderzoeker Evan Connelly. Via de Verizon Call Filter-app voor iOS kunnen klanten onder andere een overzicht van hun laatste inkomende gesprekken zien. Het gaat dan om telefoonnummers en bijbehorende timestamps.

De app stuurt hiervoor een request naar de server van Verizon. Dit verzoekt bevat verschillende details, zoals telefoonnummer en de door de klant opgegeven periode voor gespreksgegevens. De server geeft vervolgens een overzicht terug van gesprekken en bijbehorende timestamps. Connelly ontdekte dat de server niet goed controleerde of de persoon die informatie over een bepaald telefoonnummer opvroeg ook de eigenaar van dat specifieke nummer was.

De onderzoeker kon zodoende in zijn request naar de server een ander telefoonnummer opgeven en kreeg vervolgens de gespreksinformatie voor dit nummer terug. "Metadata van gesprekken lijkt misschien onschuldig, maar in de verkeerde handen is het een krachtige surveillancetool. Met onbeperkte toegang tot de gespreksgeschiedenis van een andere gebruiker, kan een aanvaller dagelijkse routines achterhalen, frequente contacten identificeren en persoonlijke relaties afleiden", aldus Connelly.

"Dit was niet zomaar een datalek. Het was een real-time surveillancemechanisme dat erop wachtte om misbruikt te worden", gaat de onderzoeker verder. De onderzoeker meldde het probleem op 22 februari dit jaar aan Verizon Wireless. Op 25 maart kreeg hij bevestiging van de telecomprovider dat het probleem was opgelost.