Un hackeo y una filtración de datos en el corredor de datos de ubicación Gravy Analytics amenaza la privacidad de millones de personas en todo el mundo cuyas aplicaciones de teléfonos inteligentes expusieron inadvertidamente sus datos de ubicación recopilados por el gigante de los datos.
Aún se desconoce el alcance total de la violación de datos, pero el presunto hacker ya ha publicado una gran muestra de datos de ubicación de las principales aplicaciones telefónicas para consumidores, incluidas aplicaciones de fitness y salud, citas y transporte público, así como juegos populares. Los datos representan decenas de millones de puntos de datos de ubicación de dónde han estado, viven, trabajan y viajan las personas entre ellos.
La noticia de la infracción se conoció a finales de la semana pasada después de que el hacker publicara capturas de pantalla de datos de ubicación en un foro de cibercrimen de acceso cerrado en ruso, afirmando haber robado varios terabytes de datos de consumidores de Gravy Analytics. canal de noticias independiente 404 medios informó por primera vez la publicación del foro que alegaba la supuesta violación, que, según afirmó, incluía los datos históricos de ubicación de millones de teléfonos inteligentes.
La emisora noruega NRK informó el 11 de enero que Unacast, la empresa matriz de Gravy Analytics, Revelar la violación con las autoridades de protección de datos del país según lo exige su legislación.
Unacast, fundada en Noruega en 2004, se fusionó con Gravy Analytics en 2023 para crear lo que promocionó en ese momento como “una de las colecciones más grandes” de datos de ubicación de consumidores. Gravy Analytics afirma rastrear más de mil millones de dispositivos en todo el mundo todos los días.
en Su notificación de violación de datos Presentado en Noruega, Unacast dijo que detectó el 4 de enero que un pirata informático había adquirido archivos de su entorno de nube de Amazon utilizando una “clave injusta”. Unacast dijo que fue notificado de la infracción a través de una comunicación con el pirata informático, pero la compañía no proporcionó más detalles. La compañía dijo que sus operaciones se desconectaron brevemente después de la infracción.
Unacast dijo en un comunicado que también había notificado la violación a las autoridades de protección de datos del Reino Unido. Un portavoz de la Oficina del Comisionado de Información del Reino Unido no respondió de inmediato el lunes cuando TechCrunch lo contactó.
Los ejecutivos de Unacast, Jeff White y Thomas Walla, no respondieron varios correos electrónicos de TechCrunch esta semana en busca de comentarios. En una declaración no atribuida de una cuenta de correo electrónico genérica de Gravy Analytics Enviado a TechCrunch El domingo, Unacast reconoció la violación y dijo que su “investigación aún está en curso”.
El sitio web de Gravy Analytics todavía estaba inactivo al momento de escribir este artículo. Varios otros dominios asociados con Gravy Analytics tampoco parecen funcionar, según las pruebas realizadas por TechCrunch durante la semana pasada.
Hasta ahora se han filtrado 30 millones de puntos de datos de ubicación
Los defensores de la privacidad de los datos llevan mucho tiempo advirtiendo sobre los riesgos que los intermediarios de datos plantean para la privacidad de las personas y la seguridad nacional. Los investigadores con acceso a la muestra de datos de ubicación de Gravy Analytics publicada por el hacker dicen que la información podría usarse para rastrear ampliamente el paradero reciente de las personas.
Baptiste Robert, director ejecutivo de la empresa de seguridad digital Predicta Lab, que obtuvo una copia del conjunto de datos filtrado, dijo en Hilo en X ese conjunto de datos contenía más de 30 millones de puntos de datos de ubicación. Estos incluyeron dispositivos ubicados en la Casa Blanca en Washington, DC; el Kremlin en Moscú; Ciudad del Vaticano; y bases militares en todo el mundo. Uno de los mapas compartidos por Robert. Mostrar los datos de ubicación de los usuarios de Tinder en todo el Reino Unido. en Otra publicaciónRobert demostró que las personas que probablemente sirvieran como personal militar podían identificarse superponiendo los datos de ubicación robados con las ubicaciones de instalaciones militares rusas conocidas.
Robert advirtió que los datos también permiten una fácil decanización de la gente corriente; En un ejemplo, los datos siguieron a una persona que conducía desde Nueva York hasta su casa en Tennessee. Forbes Informes de peligros El conjunto de datos es para usuarios LGBTQ+, cuyos datos de ubicación derivados de ciertas aplicaciones pueden identificarlos en países que discriminan la homosexualidad.
La noticia de la violación llega semanas después de que la Comisión Federal de Comercio prohibiera a Gravy Analytics y a su filial Venntel, que proporciona datos de ubicación a agencias gubernamentales y autoridades policiales, recopilar y vender datos de ubicación de estadounidenses sin el consentimiento del consumidor. La FTC acusó a la empresa de rastrear ilegalmente a millones de personas hasta lugares sensibles, como clínicas de salud y bases militares.
Datos de ubicación tomados de redes publicitarias.
Gravy Analytics extrae muchos de sus datos de ubicación Un proceso llamado oferta en tiempo realUna parte clave de la industria de la publicidad en línea que determina durante una breve subasta de milisegundos qué anunciante recibirá su anuncio en su dispositivo.
Durante esa subasta casi instantánea, todos los anunciantes que pujan pueden ver cierta información sobre su dispositivo, como la marca y el tipo de modelo, sus direcciones IP (que pueden usarse para inferir la ubicación aproximada de una persona) y, en algunos casos, una ubicación más precisa. datos que serán otorgados por el usuario de la aplicación, junto con otros factores técnicos que ayudan a determinar qué anuncio se le mostrará al usuario.
Pero como subproducto de este proceso, cualquier anunciante que haga una oferta (o cualquiera que siga de cerca estas subastas) también puede acceder al mismo tesoro de datos del “flujo de ofertas” que contiene información sobre el dispositivo. Los intermediarios de datos, incluidos los vendidos a gobiernos, pueden combinar la información recopilada con otros datos sobre esas personas de otras fuentes para pintar una imagen detallada de la vida y el paradero de alguien.
Análisis de datos de ubicación por parte de investigadores de seguridad. incluyendo a Robert de dicho laboratorioRevelando miles de aplicaciones de publicación de anuncios que, a menudo sin saberlo, han compartido datos de ofertas con corredores de datos.
El conjunto de datos contiene datos procedentes de aplicaciones populares de Android y iPhone, incluidas FlightRadar, Grindr y Tinder, todas las cuales han negado cualquier vínculo comercial directo con Gravy Analytics, pero han admitido publicar anuncios. Pero por la naturaleza de cómo funciona la industria de la publicidad, también es posible que las aplicaciones que publican anuncios recopilen los datos de sus usuarios sin saberlo o sin consentirlo explícitamente.
como Anotado por 404 MediaNo está claro cómo Garbi Analytics obtuvo su vasto tesoro de datos de ubicación, por ejemplo, si la empresa recopiló los datos ella misma o de otros intermediarios de datos. 404 Media descubrió que se obtuvieron grandes cantidades de datos de ubicación de la dirección IP del propietario del dispositivo, que está geolocalizada para estimar su ubicación en el mundo real, en lugar de depender de que el propietario del dispositivo permita que la aplicación acceda a las coordenadas GPS exactas del dispositivo.
Qué puede hacer para evitar el seguimiento de anuncios
por Grupo de derechos digitales Electronic Frontier FoundationLas subastas de anuncios se realizan en casi todos los sitios web, pero existen medidas que puede tomar para protegerse del seguimiento de anuncios.
El uso de un bloqueador de anuncios, o bloqueador de contenido móvil, puede ser una defensa eficaz contra el seguimiento de anuncios al bloquear, en primer lugar, la carga del código publicitario en los sitios en el navegador del usuario.
Los dispositivos Android y iPhone contienen funciones a nivel de dispositivo que dificultan que los anunciantes lo rastreen entre aplicaciones o en la web, y vinculan los datos falsos de su dispositivo con su identidad en el mundo real. La EFF también tiene una buena guía Cómo verificar la configuración de estos dispositivos.
Si tienes un dispositivo Apple, puedes ir a las opciones de “Seguimiento” en tu configuración y Desactive la configuración para realizar un seguimiento de las solicitudes de aplicaciones. Esto restablece el identificador único de su dispositivo, haciéndolo indistinguible del de cualquier otra persona.
“Si desactivas el seguimiento de aplicaciones, tus datos no se comparten”, dijo Robert a TechCrunch.
Los usuarios de Android deben ir a la sección “Privacidad” y luego a “Anuncios” en la configuración de su teléfono. Si la opción está disponible, puede eliminar su ID de publicidad para evitar que cualquier aplicación de su teléfono acceda a la ID única de su dispositivo en el futuro. Aquellos que no tengan esta configuración aún deberán restablecer periódicamente sus ID de publicidad.
Evitar que las aplicaciones accedan a su ubicación exacta cuando no sea necesario también ayudará a reducir su huella de datos.
