Spoločnosť Gravy Analytics, ktorá sa špecializuje na spracovanie lokalizačných údajov zo smartfónov, čelí masívnemu kybernetickému útoku. Hackeri tvrdia, že ukradli 17 terabajtov citlivých informácií, vrátane údajov o zákazníkoch, presných polohách používateľov a prístupu k interným systémom spoločnosti. Útočníci zverejnili výstrahu a hrozia, že údaje odhalia, ak spoločnosť nezaplatí výkupné.

Lokalizačné údaje získané z rôznych aplikácií predstavujú výnosný biznis, ale aj obrovské riziko pre súkromie. Gravy Analytics a jej dcérska spoločnosť Venntel dlhodobo obchodujú s lokalizačnými údajmi, ktoré sú predávané komerčným subjektom aj vládnym agentúram.

Podľa žaloby Federálnej obchodnej komisie (FTC) však spoločnosť nelegálne zhromažďovala a predávala citlivé údaje bez súhlasu používateľov, pričom medzi sledovanými miestami boli zdravotnícke zariadenia, vládne budovy či miesta bohoslužieb. Na tému upozornil portál 404media.

Výnosný biznis, ale obrovské riziko

Ako uvádza portál Wired, únik údajov z Gravy Analytics odhalil, že niektoré z najpopulárnejších aplikácií, ako Candy Crush, Tinder, MyFitnessPal, ale aj rôzne náboženské aplikácie, sú zapojené do nelegálneho zberu lokalizačných údajov. Tieto aplikácie zhromažďujú citlivé informácie cez reklamné ekosystémy, a to bez vedomia používateľov alebo dokonca vývojárov samotných aplikácií.

Údaje, ktoré končia v rukách Gravy a jej dcérskej spoločnosti Venntel, pochádzajú z online reklamného systému, kde sa údaje o polohách používateľov získavajú počas reálneho ponúkania reklám (real-time bidding, RTB). Tento proces sa dejú nepozorovane, pričom vývojári aplikácií nemusia vedieť, že ich aplikácie sa využívajú na zber dát.

Unsplash

Vlády nakupujú, regulácie chýbajú

Únik odhalil, že lokalizačné údaje sa nevyužívajú len na marketingové účely, ale často sa predávajú aj vládnym agentúram. V roku 2023 Národný úrad pre spravodajstvo USA informoval, že spravodajské služby nakupujú tieto údaje na sledovanie, čo obchádza zákony obmedzujúce priame sledovanie amerických občanov.

Podľa Baptista Roberta, experta na ochranu súkromia, sú lokalizačné údaje mimoriadne cenné, no ich zneužitie môže mať fatálne dôsledky. „Aj keď údaje neobsahujú mená, stačí analyzovať ich pohyb, aby ste zistili, kde daná osoba býva, pracuje alebo trávi voľný čas,“ uviedol.

Example of deanonymization:
– Dec 29, 7:08 PM: Seen at Columbus Circle, NYC.
– Later: Returned home to a TN town with a registered locksmith business.
– Next day: Visited his mother, Carol. His father was an USAF vet and passed 3 years ago.

Yes, you can be tracked. pic.twitter.com/MtViWTbpgf

— Baptiste Robert (@fs0c131y) January 8, 2025

Gravy Analytics zatiaľ na incident nereagovala a jej webová stránka zostáva nedostupná. Únik však podčiarkuje potrebu legislatívnej ochrany súkromia a prísnejších regulácií pre priemysel spracovania dát, ktorý sa v USA stále vyhýba jasným pravidlám. Pre spoločnosti zaoberajúce sa zhromažďovaním údajov je táto situácia varovným signálom, že sa stávajú čoraz atraktívnejším cieľom pre kybernetických útočníkov.