Взлом и утечка данных у брокера данных о местоположении Gravy Analytics угрожают конфиденциальности миллионов людей по всему миру, чьи приложения для смартфонов невольно раскрыли данные об их местоположении, собранные гигантом данных.
Полный масштаб утечки данных пока неизвестен, но предполагаемый хакер уже опубликовал большую выборку данных о местоположении из популярных потребительских телефонных приложений, включая приложения для фитнеса и здоровья, знакомств и общественного транспорта, а также популярные игры. Данные представляют собой десятки миллионов точек данных о том, где люди были, живут, работают и путешествуют между собой.
Новость о взломе появилась в минувшие выходные после того, как хакер разместил скриншоты данных о местоположении на закрытом русскоязычном форуме по киберпреступности, заявив, что они украли несколько терабайт данных потребителей из Gravy Analytics. Независимое новостное издание 404 Media сначала сообщило о сообщении на форуме, в котором утверждалось о явном взломе, в котором утверждалось, что были включены исторические данные о местоположении миллионов смартфонов.
Норвежская телекомпания NRK сообщила 11 января, что Unacast, материнская компания Gravy Analytics, сообщила о нарушении властям страны по защите данных, как того требует закон.
Компания Unacast, основанная в Норвегии в 2004 году, объединилась с Gravy Analytics в 2023 году, чтобы создать то, что она тогда рекламировала как «одну из крупнейших» коллекций данных о местоположении потребителей. Gravy Analytics утверждает, что ежедневно отслеживает более миллиарда устройств по всему миру.
В уведомлении об утечке данных, поданном в Норвегию, компания Unacast сообщила, что 4 января установила, что хакер получил файлы из ее облачной среды Amazon с помощью «неправомерно присвоенного ключа». В Unacast заявили, что узнали о взломе благодаря общению с хакером, но компания не предоставила никаких дополнительных подробностей. Компания заявила, что ее операции были ненадолго отключены после взлома.
В уведомлении Unacast говорится, что она также уведомила британские органы по защите данных о нарушении. Представитель Управления комиссара по информации Великобритании не сразу прокомментировал ситуацию в понедельник, когда с ним связался TechCrunch.
Руководители Unacast Джефф Уайт и Томас Уолле на этой неделе не ответили на несколько электронных писем от TechCrunch с просьбой прокомментировать ситуацию. В заявлении без указания авторства из общей учетной записи электронной почты Gravy Analytics, отправленном в TechCrunch в воскресенье, Unacast признала нарушение, заявив, что ее «расследование продолжается».
На момент написания веб-сайт Gravy Analytics все еще был недоступен. Согласно проверкам TechCrunch, проведенным на прошлой неделе, несколько других доменов, связанных с Gravy Analytics, также оказались нефункциональными.
На данный момент в сеть утекло 30 миллионов данных о местоположении
Защитники конфиденциальности данных уже давно предупреждают о рисках, которые брокеры данных представляют для конфиденциальности людей и национальной безопасности. Исследователи, имеющие доступ к образцам данных о местоположении Gravy Analytics, опубликованным хакером, говорят, что эта информация может быть использована для тщательного отслеживания недавнего местонахождения людей.
Батист Робер, генеральный директор компании по цифровой безопасности Predicta Lab, получивший копию утекшего набора данных, сказал в теме на X, что набор данных содержит более 30 миллионов точек данных о местоположении. В их число входили устройства, расположенные в Белом доме в Вашингтоне; Кремль в Москве; Ватикан; и военные базы по всему миру. На одной из карт, которыми поделился Роберт, были показаны данные о местоположении пользователей Tinder по всей Великобритании. В другом посте Роберт показал, что можно идентифицировать лиц, которые, вероятно, служат военнослужащими, путем сопоставления украденных данных о местоположении с местоположениями известных российских военных объектов.
Роберт предупредил, что данные также позволяют легко деанонимизировать обычных людей; в одном примере данные отслеживали человека, когда он путешествовал из Нью-Йорка к себе домой в Теннесси. Forbes сообщил об опасностях, которые этот набор данных представляет для пользователей ЛГБТК+, чьи данные о местоположении, полученные из определенных приложений, могут идентифицировать их в странах, где гомосексуальность криминализирован.
Новости о взломе появились через несколько недель после того, как Федеральная торговая комиссия запретила Gravy Analytics и ее дочерней компании Venntel, которая предоставляет данные о местоположении правительственным учреждениям и правоохранительным органам, собирать и продавать данные о местонахождении американцев без согласия потребителей. Федеральная торговая комиссия обвинила компанию в незаконном отслеживании миллионов людей в секретных местах, таких как медицинские клиники и военные базы.
Данные о местоположении, полученные из рекламных сетей
Gravy Analytics получает большую часть своих данных о местоположении в результате процесса, называемого торгами в реальном времени, ключевой части индустрии онлайн-рекламы, которая определяет в ходе аукциона, который длится всего несколько миллисекунд, какой рекламодатель сможет доставить свою рекламу на ваше устройство.
Во время этого почти мгновенного аукциона все рекламодатели, участвующие в торгах, могут увидеть некоторую информацию о вашем устройстве, например, производителя и тип модели, его IP-адреса (которые можно использовать для определения приблизительного местоположения человека), а в некоторых случаях и многое другое. точные данные о местоположении, если они предоставлены пользователем приложения, а также другие технические факторы, которые помогают определить, какое объявление будет показано пользователю.
Но в качестве побочного продукта этого процесса любой рекламодатель, делающий ставки, или кто-либо, внимательно следящий за этими аукционами, также может получить доступ к этому кладезь так называемых данных «потока ставок», содержащих информацию об устройствах. Брокеры данных, в том числе те, кто продает информацию правительствам, могут объединить эту собранную информацию с другими данными об этих людях из других источников, чтобы нарисовать подробную картину чьей-либо жизни и местонахождения.
Анализ данных о местоположении, проведенный исследователями безопасности, в том числе Робертом из Predicta Lab, выявил тысячи приложений для отображения рекламы, которые передали, часто неосознанно, данные потока заявок с брокерами данных.
Набор данных содержит данные, полученные из популярных приложений для Android и iPhone, включая FlightRadar, Grindr и Tinder — все они отрицают какие-либо прямые деловые связи с Gravy Analytics, но признают показ рекламы. Но в силу особенностей работы рекламной индустрии приложения, обслуживающие рекламу, могут собирать данные своих пользователей, не зная об этом явным образом и не соглашаясь на это.
Как отмечает 404 Media, неясно, как Gravy Analytics получила свои огромные запасы данных о местоположении, например, собирала ли компания эти данные сама или от других брокеров данных. 404 Media обнаружило, что большие объемы данных о местоположении были получены на основе IP-адреса владельца устройства, который геолокирован так, чтобы приблизительно соответствовать его реальному местоположению, вместо того, чтобы полагаться на то, что владелец устройства разрешает приложению доступ к точным GPS-координатам устройства.
Что вы можете сделать, чтобы предотвратить слежку за рекламой
По данным группы по защите цифровых прав Electronic Frontier Foundation, аукционы рекламы проводятся почти на каждом веб-сайте, но есть меры, которые вы можете принять, чтобы защитить себя от слежки за рекламой.
Использование блокировщика рекламы — или блокировщика контента на мобильном уровне — может быть эффективной защитой от слежки за рекламой, с самого начала блокируя загрузку рекламного кода на веб-сайтах в браузере пользователя.
Устройства Android и iPhone также оснащены функциями на уровне устройства, которые затрудняют рекламодателям отслеживание вас между приложениями или в Интернете и связывают данные вашего псевдонимного устройства с вашей реальной личностью. У EFF также есть хорошее руководство о том, как проверить эти настройки устройства.
Если у вас есть устройство Apple, вы можете перейти к параметрам «Отслеживание» в настройках и отключить настройку отслеживания запросов приложений. Это обнуляет уникальный идентификатор вашего устройства, делая его неотличимым от любого другого.
«Если вы отключите отслеживание приложений, ваши данные не будут переданы», — сказал Роберт TechCrunch.
Пользователям Android следует перейти в раздел «Конфиденциальность», а затем «Реклама» в настройках своего телефона. Если эта опция доступна, вы можете удалить свой рекламный идентификатор, чтобы запретить любому приложению на вашем телефоне доступ к уникальному идентификатору вашего устройства в будущем. Тем, у кого нет этой настройки, все равно следует регулярно сбрасывать свои рекламные идентификаторы.
Запрет приложениям доступа к вашему точному местоположению, когда это не требуется, также поможет уменьшить объем ваших данных.
