„Există o companie care se comportă ca un bursuc de miere global, făcând tot ce-i place cu fiecare date care îi iese în cale”
Un cartof fierbinte: Se presupune că mii de aplicații mobile populare pe Android și iOS sunt exploatate pentru a colecta date sensibile de locație la o scară fără precedent. Această colectare de date, care are loc prin intermediul ecosistemului de publicitate, are loc probabil fără știrea utilizatorilor sau chiar a dezvoltatorilor de aplicații înșiși.
Informațiile provin din fișiere piratate aparținând Gravy Analytics, o companie de date despre locație a cărei filială, Venntel, a vândut anterior date de localizare la nivel global agențiilor de aplicare a legii din SUA. Această informație a fost raportată de Wired, care a colaborat cu 404 Media pentru a produce povestea.
Încălcarea datelor a expus o rețea extinsă de aplicații, de la jocuri populare precum Candy Crush până la aplicații de întâlniri precum Tinder și Grindr. Include, de asemenea, categorii sensibile, cum ar fi urmărirea sarcinii și aplicațiile de rugăciune religioasă.
„Pentru prima dată în mod public, se pare că avem dovezi că unul dintre cei mai mari brokeri de date care vinde atât clienților comerciali, cât și celor guvernamentali pare să-și obțină datele din „fluxul de licitare” de publicitate online, mai degrabă decât codul încorporat în aplicațiile în sine, „, a declarat Zach Edwards, analist senior al amenințărilor la firma de securitate cibernetică Silent Push, pentru 404 Media.
Această revelație aruncă o lumină asupra lumii licitațiilor în timp real (RTB), un proces prin care companiile licitează pentru a plasa anunțuri în aplicații. Cu toate acestea, acest sistem are un efect secundar periculos: brokerii de date pot intercepta acest proces și pot colecta datele de locație ale utilizatorilor de telefoane mobile.
Edwards a descris acest lucru drept „un scenariu de coșmar pentru confidențialitate”, adăugând că „există o companie care se comportă ca un bursuc de miere global, făcând tot ce dorește cu fiecare date care îi iese în cale”.
Amploarea acestei colectări de date este uluitoare. Datele Gravy piratate includ zeci de milioane de coordonate de telefoane mobile de pe dispozitive din Statele Unite, Rusia și Europa. Lista aplicațiilor afectate este extinsă, acoperind o gamă largă de categorii, inclusiv rețele sociale, trackere de fitness, clienți de e-mail și chiar aplicații VPN pe care utilizatorii le-au descărcat în încercarea de a-și proteja confidențialitatea.
Deși încălcarea datelor pare să implice Gravy Analytics, rămâne neclar dacă Gravy a colectat el însuși aceste date despre locație sau le-a obținut dintr-o altă sursă. Setul de date, care datează din 2024, oferă o privire rară asupra lumii opace a industriei datelor de locație.
Gravy Analytics joacă un rol esențial în acest ecosistem, cumulând date despre locația telefoanelor mobile din diverse surse și vânzându-le entităților comerciale sau agențiilor guvernamentale prin intermediul subsidiarei sale, Venntel. Investigațiile anterioare au dezvăluit că clienții lui Venntel includ mai multe agenții guvernamentale americane, cum ar fi Immigration and Customs Enforcement (ICE), Customs and Border Protection (CBP), IRS, FBI și DEA.
Implicațiile acestei colectări de date sunt de amploare, ridicând preocupări serioase privind confidențialitatea și evidențiind potențialul ca aceste date să fie utilizate în moduri la care utilizatorii nu au intenționat niciodată sau nu și-au dat consimțământul. De exemplu, 404 Media și alte instituții au demonstrat anterior cum un instrument numit Locate X, bazat pe datele Venntel, ar putea fi folosit pentru a monitoriza vizitatorii clinicilor de avort din afara statului.
Majoritatea dezvoltatorilor de aplicații și companiilor incluse în listă nu au răspuns solicitărilor de comentarii. Cu toate acestea, Flightradar24 a declarat într-un e-mail că nu a auzit niciodată de Gravy, dar a recunoscut că afișează reclame pentru „a ajuta la menținerea liberă a Flightradar24”.
Tinder a negat orice relație cu Gravy Analytics, în timp ce Muslim Pro, una dintre aplicațiile de rugăciune afectate, a susținut că nu autorizează rețelele publicitare să colecteze date despre locația utilizatorilor săi.
Descoperirea că aceste date par să provină din licitarea în timp real este deosebit de semnificativă. Schimbă responsabilitatea către actorii necinstiți din industria publicității și giganții tehnologici care o facilitează. De asemenea, sugerează că mulți editori majori de aplicații ar putea să nu știe că datele utilizatorilor lor sunt colectate, ceea ce le face dificil să ia măsuri preventive.
Krzysztof Franaszek, fondatorul companiei de criminalistică digitală Adalytics, a analizat datele scurse și a observat că „cel puțin unele dintre aceste date ar fi fost probabil obținute din licitații în timp real legate de publicitate”. El a remarcat dovezi că platforma de publicitate Google difuzează unele dintre reclamele care permit această urmărire de către companii externe, inclusiv potențiali contractori guvernamentali.
FTC a luat recent măsuri împotriva unor practici similare. În decembrie, agenția a interzis companiei de date despre locație Mobilewalla să colecteze date despre consumatori „de la licitații de publicitate online în alte scopuri decât participarea la acele licitații”. De asemenea, FTC le-a ordonat lui Venntel și Gravy Analytics să șteargă datele istorice privind locația și le-a interzis să vândă date referitoare la zone sensibile, cum ar fi clinicile de sănătate și lăcașurile de cult, cu excepția unor circumstanțe limitate.