Хакерские атаки и утечка данных у брокера данных о местоположении Gravy Analytics угрожают конфиденциальности миллионов людей по всему миру, чьи приложения на смартфоне ненамеренно раскрывали данные о своем местоположении, собранные гигантом данных.
Полный масштаб утечки данных пока неизвестен, но предполагаемый хакер уже опубликовал большой образец данных о местоположении из популярных потребительских приложений для телефона — включая фитнес и здоровье, знакомства, транзитные приложения, а также популярные игры. Данные представляют собой десятки миллионов точек данных о местоположении, где люди были, живут, работают и путешествуют между ними.
Новость о нарушении появилась в прошлые выходные, когда хакер опубликовал скриншоты данных о местоположении на закрытом русскоязычном форуме киберпреступности, утверждая, что украл несколько терабайт данных потребителей у Gravy Analytics. Независимое информационное агентство 404 Media первым сообщило о посте на форуме, утверждая явное нарушение, включав в себя исторические данные о местоположении миллионов смартфонов.
На прошлой неделе норвежское телевидение NRK сообщило, что Unacast, материнская компания Gravy Analytics, раскрыла информацию о нарушении перед органами по защите данных страны, как это требует ее законодательство.
Unacast, основанная в Норвегии в 2004 году, объединилась с Gravy Analytics в 2023 году, чтобы создать, как тогда громким заявлением считалось, \"одно из крупнейших\" собраний данных о местоположении потребителей. Gravy Analytics утверждает, что отслеживает более миллиарда устройств по всему миру ежедневно.
В своем уведомлении о нарушении данных Unacast сообщила в Норвегии, что 4 января было обнаружено, что хакер получил файлы из их облачной среды Amazon с помощью \"недобросовестного ключа\". Unacast сказала, что была осведомлена о нарушении в ходе общения с хакером, но компания не предоставила дополнительных деталей. Компания также уточнила, что ее операции были кратковременно приостановлены после нарушения.
Unacast сообщила, что также уведомила о нарушении органы защиты данных Великобритании. Люси Милберн, представитель Информационного комиссариата Великобритании, подтвердила TechCrunch, что ICO \"получило доклад от Gravy Analytics и проводит запросы\".
Руководители Unacast Джефф Уайт и Томас Уолл не ответили на несколько писем от TechCrunch на этой неделе с просьбой о комментариях. В ненаименованном заявлении с общего почтового ящика Gravy Analytics, отправленном на TechCrunch в воскресенье, Unacast признала нарушение, заявив, что ее \"расследование продолжается\".
Сайт Gravy Analytics до сих пор не работает на момент написания материала. Несколько других доменов, связанных с Gravy Analytics, также кажутся не работоспособными, согласно проверкам TechCrunch за последнюю неделю.
Утечка данных о местоположении более чем 30 миллионов точек данных
Активисты по защите данных давно предостерегали об опасности, которую представляют брокеры данных для конфиденциальности людей и национальной безопасности. Исследователи, имеющие доступ к образцу данных о местоположении Gravy Analytics, опубликованному хакером, говорят, что информацию можно применять для обширного отслеживания недавних перемещений людей.
Батист Роберт, генеральный директор цифровой компании безопасности Predicta Lab, который получил копию утекшего набора данных, сообщил в теме на X, что набор данных содержал более 30 миллионов точек данных о местоположении. Эти данные включали устройства, находящиеся в Белом доме в Вашингтоне, Кремле в Москве, Ватикане и военных базах по всему миру. Одна из карт, опубликованных Робертом, показала данные о местоположении пользователей Tinder по всему Соединенному Королевству. В другом посте Роберт показал, что возможно идентифицировать лиц, вероятно, служащих военнослужащими, путем перекрытия украденных данных о местоположении с местоположениями известных военных объектов в России.
![](\"https://techcrunch.com/wp-content/uploads/2025/01/tinder-map-baptiste.jpg?w=1280\")
Роберт предупредил, что данные также позволяют легкую деанонимизацию обычных людей; в одном примере данные отслеживали человека по мере его поездки из Нью-Йорка домой в Теннесси. Forbes сообщило о рисках, которые представляет этот набор данных для пользователей LGBTQ+, чьи данные о местоположении, полученные из определенных приложений, могут идентифицировать их в странах, где уголовно преследуют гомосексуализм.
Новости о нарушении появились недели спустя после того, как Федеральная торговая комиссия запретила Gravy Analytics и ее дочернюю компанию Venntel, предоставляющую данные о местоположении правоохранительным органам и государственным службам, собирать и продавать данные о местоположении американцев без согласия потребителей. FTC обвинила компанию в незаконном отслеживании миллионов людей в чувствительных местах, таких как клиники здравоохранения и военные базы.
Данные о местоположении, полученные из рекламных сетей
Gravy Analytics получает большую часть своих данных о местоположении через процесс, называемый мгновенной торговлей, ключевой частью онлайн-рекламной индустрии, которая определяет в ходе миллисекундного аукциона, какой рекламодатель получает возможность доставить свою рекламу на ваше устройство.
Во время этого почти мгновенного аукциона все рекламируемые рекламодатели могут видеть некоторую информацию о вашем устройстве, такую как производитель и модель, его IP-адреса (которые могут использоваться для вывода приблизительного местоположения человека), и в некоторых случаях более точные данные о местоположении, если это было разрешено пользователем приложения, вместе с другими техническими факторами, которые помогают определить, какую рекламу пользователь увидит.
Но как побочный продукт этого процесса, любой рекламодатель, который делает ставку, или кто-то тщательно следит за этими аукционами, также может получить доступ к так называемым данным \"бидстрим\", содержащим информацию об устройствах. Брокеры данных, включая тех, кто продает данные правительствам, могут объединять собранную информацию с другими данными об этих людях из других источников, чтобы составить детальную картину жизни и местонахождения человека.
Анализы данных о местоположении от секьюрити-исследователей, включая Робера из Predicta Lab, показывают тысячи приложений с рекламным отображением, которые безответственно, часто не зная об этом, делятся данными \"бидстрим\" с брокерами данных.
Набор данных содержит данные, полученные из популярных приложений для Android и iPhone, включая FlightRadar, Grindr и Tinder — все они отрицают прямые деловые связи с Gravy Analytics, но признают, что показывают рекламу. Но из-за того, как работает рекламная индустрия, вполне возможно, что приложения для отображения рекламы собирают данные своих пользователей, не зная о них или не соглашаясь на это.
Как указывает 404 Media, неясно, как Gravy Analytics получила свои массовые наборы данных о местоположении, например, собрала ли компания данные сама или у других брокеров данных. 404 Media заметила, что большое количество данных о местоположении выводится из IP-адреса владельца устройства, который геолокализуется для приблизительного определения его реального местоположения, а не на основе того, что владелец устройства позволил приложению получить точные координаты GPS устройства.
Что можно сделать, чтобы предотвратить адское слежение
Согласно цифровой группе Electronic Frontier Foundation, аукционы рекламы происходят на практически всех веб-сайтах, но есть меры, которые можно принять, чтобы защитить себя от адского слежения.
Использование блокировщика рекламы — или блокировщика контента на уровне мобильного устройства — может быть эффективной защитой от адского слежения путем блокировки загрузки рекламного кода на веб-сайтах в браузере пользователя.
Устройства на Android и iPhone также включают функции на уровне устройства, которые усложняют слежение за вами рекламодателями между приложениями или по всему Интернету и связывание вашего псевдонимного устройственного идентификатора с вашей реальной личностью. У EFF также есть хорошее руководство для проверки этих настроек устройства.
Если у вас устройство от Apple, вы можете перейти к пункту \"Отслеживание\" в своих настройках и отключить настройку для запросов приложения отслеживать. Это обнуляет уникальный идентификатор вашего устройства, делая его неотличимым от устройства кого-либо еще.
\"Если вы отключите отслеживание в приложении, ваши данные не будут распространяться\", — сказал Роберт TechCrunch.
Пользователи Android должны перейти в раздел \"Конфиденциальность\", затем \"Реклама\" в настройках своего телефона. Если эта опция доступна, вы можете удалить свой идентификатор для рекламы, чтобы предотвратить доступ к нему любого приложения на вашем телефоне. Те, у кого нет этой настройки, также должны регулярно сбрасывать свои идентификаторы для рекламы.
Предотвращение приложениям доступа к вашему точному местоположению, когда это не требуется, также поможет сократить вашу цифровую следу.
Обновлено с комментарием от ICO.
Сообщения Зак
