Ein Hack und eine Datenpanne beim Standortdatenbroker Gravy Analytics bedrohen die Privatsphäre von Millionen Menschen auf der ganzen Welt, deren Smartphone-Apps unabsichtlich ihre vom Datenriesen gesammelten Standortdaten offengelegt haben.
Das volle Ausmaß des Datenverstoßes ist noch nicht bekannt, aber der mutmaßliche Hacker hat bereits eine große Auswahl an Standortdaten von großen Verbraucher-Telefon-Apps veröffentlicht – darunter Fitness- und Gesundheits-, Dating- und ÖPNV-Apps sowie beliebte Spiele. Bei den Daten handelt es sich um zig Millionen Standortdatenpunkte darüber, wo sich Menschen aufgehalten haben, gelebt, gearbeitet und gereist sind.
Die Nachricht über den Verstoß wurde letztes Wochenende bekannt, nachdem ein Hacker Screenshots von Standortdaten in einem nicht zugänglichen russischsprachigen Cyberkriminalitätsforum gepostet hatte und behauptete, er habe mehrere Terabyte an Verbraucherdaten von Gravy Analytics gestohlen. Unabhängiges Medienunternehmen 404 Medien berichtete zunächst über den Forumsbeitrag, in dem der offensichtliche Verstoß behauptet wurde, der angeblich historische Standortdaten von Millionen von Smartphones umfasste.
Der norwegische Sender NRK berichtete am 11. Januar, dass Unacast, die Muttergesellschaft von Gravy Analytics, den Verstoß offengelegt mit den Datenschutzbehörden des Landes gemäß dessen Gesetz.
Unacast, 2004 in Norwegen gegründet, ist mit Gravy Analytics fusioniert im Jahr 2023 um eine Sammlung von Verbraucherstandortdaten zu erstellen, die damals als „eine der größten“ galt. Gravy Analytics gibt an, täglich über eine Milliarde Geräte auf der ganzen Welt zu verfolgen.
In Ihre Benachrichtigung über Datenschutzverletzungen In Norwegen eingereicht, sagte Unacast, es habe am 4. Januar festgestellt, dass ein Hacker über einen „entwendeten Schlüssel“ Dateien aus seiner Amazon-Cloud-Umgebung erworben habe. Unacast sagte, es sei durch die Kommunikation mit dem Hacker auf den Verstoß aufmerksam geworden, das Unternehmen nannte jedoch keine weiteren Details. Das Unternehmen sagte, sein Betrieb sei nach dem Verstoß vorübergehend eingestellt worden.
Unacast sagte in der Mitteilung, dass es auch die britischen Datenschutzbehörden über den Verstoß informiert habe. Ein Sprecher des britischen Information Commissioner’s Office äußerte sich am Montag nicht sofort, als er von TechCrunch kontaktiert wurde.
Die Führungskräfte von Unacast, Jeff White und Thomas Walle, haben diese Woche mehrere E-Mails von TechCrunch mit der Bitte um Stellungnahme nicht beantwortet. In einer nicht zugeordneten Aussage eines generischen Gravy Analytics-E-Mail-Kontos an TechCrunch gesendet Am Sonntag räumte Unacast den Verstoß ein und sagte, die „Untersuchung sei noch im Gange“.
Die Gravy Analytics-Website ist zum Zeitpunkt des Schreibens noch nicht verfügbar. Laut Überprüfungen von TechCrunch letzte Woche schienen auch mehrere andere mit Gravy Analytics verbundene Domains nicht verfügbar zu sein.
Bisher sind 30 Millionen Standortdatenpunkte durchgesickert
Befürworter des Datenschutzes warnen seit langem vor den Risiken, die Datenbroker für die Privatsphäre des Einzelnen und die nationale Sicherheit darstellen. Forscher mit Zugriff auf die vom Hacker veröffentlichten Standortdaten von Gravy Analytics sagen, dass die Informationen verwendet werden können, um den aktuellen Aufenthaltsort von Personen umfassend zu verfolgen.
Baptiste Robert, CEO des digitalen Sicherheitsunternehmens Predicta Lab, das eine Kopie des durchgesickerten Datensatzes erhalten hat, sagte in einem Thema in X dass der Datensatz mehr als 30 Millionen Standortdatenpunkte enthielt. Dazu gehörten Geräte, die sich im Weißen Haus in Washington DC befanden; der Kreml in Moskau; Vatikanstadt; und Militärstützpunkte auf der ganzen Welt. Eine der von Robert geteilten Karten zeigte die Standortdaten von Tinder-Nutzern in ganz Großbritannien. In ein weiterer BeitragRobert zeigte, dass es möglich war, Personen zu identifizieren, die wahrscheinlich Militärdienst leisteten, indem die gestohlenen Standortdaten mit den Standorten bekannter russischer Militäreinrichtungen überlagert wurden.
Robert warnte, dass die Daten auch eine einfache Deanonymisierung gewöhnlicher Personen ermöglichen; In einem Beispiel verfolgten die Daten die Reise einer Person von New York zu ihrem Zuhause in Tennessee. Forbes über die Gefahren informiert dass der Datensatz über LGBTQ+-Benutzer verfügt, deren von bestimmten Apps abgeleitete Standortdaten sie in Ländern identifizieren könnten, die Homosexualität kriminalisieren.
Wochen später kommt die Nachricht von dem Verstoß Die Federal Trade Commission hat es verboten Gravy Analytics und seine Tochtergesellschaft Venntel, die Standortdaten für Regierungs- und Strafverfolgungsbehörden bereitstellt, sammeln und verkaufen Standortdaten von Amerikanern ohne Zustimmung der Verbraucher. Die FTC beschuldigte das Unternehmen, Millionen von Menschen an sensiblen Orten wie Kliniken und Militärstützpunkten illegal verfolgt zu haben.
Standortdaten aus Werbenetzwerken
Gravy Analytics bezieht einen Großteil seiner Standortdaten von ein Prozess, der als Echtzeitgebot bezeichnet wirdEin wichtiger Teil der Online-Werbebranche, der während einer Millisekundenauktion bestimmt, welcher Werbetreibende seine Anzeige auf Ihrem Gerät liefert.
Während dieser nahezu augenblicklichen Auktion können alle Werbetreibenden, die Gebote abgeben, einige Informationen über Ihr Gerät sehen, wie z. B. den Hersteller und Modelltyp, seine IP-Adressen (die zur Ableitung des ungefähren Standorts einer Person verwendet werden können) und in manchen Fällen auch den genaueren Standort Daten, sofern vom Anwendungsbenutzer bereitgestellt, sowie andere technische Faktoren, die dabei helfen, zu bestimmen, welche Werbung dem Benutzer angezeigt wird.
Aber als Nebenprodukt dieses Prozesses kann jeder Werbetreibende, der Gebote abgibt – oder jeder, der diese Auktionen genau überwacht – auch auf diesen Datenschatz namens „Bidstream“ zugreifen, der Geräteinformationen enthält. Datenmakler, auch solche, die Daten an Regierungen verkaufen, können diese gesammelten Informationen mit anderen Daten über diese Personen aus anderen Quellen kombinieren, um ein detailliertes Bild vom Leben und Aufenthaltsort einer Person zu zeichnen.
Analyse von Standortdaten durch Sicherheitsforscher, einschließlich Robert aus besagtem Laborenthüllen Tausende von Adserving-Apps, die, oft unwissentlich, Bidstream-Daten mit Datenbrokern geteilt haben.
Der Datensatz enthält Daten, die von beliebten Android- und iPhone-Apps wie FlightRadar, Grindr und Tinder stammen – alle haben jegliche direkte kommerzielle Verbindung zu Gravy Analytics bestritten, aber die Anzeige von Werbung bestätigt. Aufgrund der Art und Weise, wie die Werbebranche funktioniert, ist es jedoch möglich, dass Apps, die Werbung schalten, Daten ihrer Nutzer sammeln, ohne dass diese davon Kenntnis haben oder dem ausdrücklich zustimmen.
Als notiert von 404 MediaEs ist unklar, wie Gravy Analytics an seine riesigen Mengen an Standortdaten gelangt ist, beispielsweise ob das Unternehmen die Daten selbst oder von anderen Datenbrokern gesammelt hat. 404 Media hat herausgefunden, dass große Mengen an Standortdaten aus der IP-Adresse des Gerätebesitzers abgeleitet wurden, die geolokalisiert wird, um ihren realen Standort anzunähern, anstatt sich auf den Gerätebesitzer zu verlassen, sodass die App auf die Koordinaten zugreifen kann. Genaues GPS des Geräts.
Was Sie tun können, um Werbeüberwachung zu vermeiden
Setzen Gruppe für digitale Rechte Electronic Frontier FoundationAnzeigenauktionen finden auf fast jeder Website statt, es gibt jedoch Maßnahmen, die Sie ergreifen können, um sich vor Werbeüberwachung zu schützen.
Die Verwendung eines Werbeblockers – oder eines Inhaltsblockers auf Mobilebene – kann ein Problem sein wirksame Verteidigung Gegen Werbeüberwachung, indem das Laden von Werbecode auf Websites im Browser des Benutzers blockiert wird.
Android-Geräte und iPhones verfügen außerdem über Funktionen auf Geräteebene, die es Werbetreibenden erschweren, Sie über Apps oder das Internet hinweg zu verfolgen und Ihre pseudonymen Gerätedaten mit Ihrer realen Identität zu verknüpfen. Die EFF hat auch eine guter Führer Informationen zur Überprüfung dieser Geräteeinstellungen.
Wenn Sie ein Apple-Gerät besitzen, können Sie in den Einstellungen und auf die „Tracking“-Optionen zugreifen Deaktivieren Sie die Einstellung zur Verfolgung von Anwendungsanfragen. Dadurch wird die eindeutige Kennung Ihres Geräts zurückgesetzt, sodass es nicht mehr von anderen Geräten zu unterscheiden ist.
„Wenn Sie das App-Tracking deaktivieren, werden Ihre Daten nicht weitergegeben“, sagte Robert gegenüber TechCrunch.
Android-Benutzer sollten in ihren Telefoneinstellungen zum Abschnitt „Datenschutz“ und dann zu „Anzeigen“ gehen. Wenn die Option verfügbar ist, können Sie Ihre Werbe-ID löschen, um zu verhindern, dass Apps auf Ihrem Telefon in Zukunft auf die eindeutige Kennung Ihres Geräts zugreifen. Wer nicht über diese Einrichtung verfügt, muss seine Werbe-IDs dennoch regelmäßig zurücksetzen.
Wenn Sie verhindern, dass Apps auf Ihren genauen Standort zugreifen, wenn dies nicht erforderlich ist, können Sie auch das Datenvolumen reduzieren.
