Aktualizované 18. januára 2025:

Milióny používateľov populárnych aplikácií sa stali obeťou úniku dát, ktorý odhalil ich presnú polohu. Portál Gadgets360 získal informáciu, že hacker ukradol informácie o pohybe používateľov, vrátane detailov o ich domovoch a pracoviskách. Incident sa týka používateľov systémov iOS aj Android, no niektorí majitelia iPhonov mohli byť vďaka funkcii App Tracking Transparency ochránení.

Masívny únik dát

Podľa správ 404 Media, ako sme spomínali v pôvodnom článku, bola cieľom útoku spoločnosť Gravy Analytics, ktorá sa špecializuje na zber a predaj lokalizačných dát. Únik obsahoval podrobné informácie o denných pohyboch miliónov používateľov. Získané informácie obsahovali pohyb ľudí aj vo vojenských základniach, vládnych inštitúciách ako je Biely Dom, Vatikán či Kremeľ.

While Europe spends years debating data regulations, the sad reality remains.

Maybe it’s time to (actually) take action? pic.twitter.com/JLuTmM8WHu

— Baptiste Robert (@fs0c131y) January 8, 2025

Spoločnosť Unacast, ktorá vlastní Gravy Analytics, nórskym úradom uviedla, že k útoku došlo 4. januára. Hacker získal kľúč, ktorý následne zneužil a získal prístup k údajom v cloude. Spoločnosť neuviedla presný rozsah úniku, avšak podľa generálneho riaditeľa Predicta Lab Babtiste Roberta ide o desiatky miliónov záznamov o polohe.

Robert, ktorý získal 1,4 GB vzorky uviedol, že obsahovala nielen lokalizačné služby, ale aj zoznam viac ako 3 400 aplikácií pre Android. Medzi postihnuté aplikácie patria napríklad Tinder, Tumblr, Subway Survers, Candy Crush, MyFitnessPal, či Microsoft 365.

This isn’t your typical data leak, it’s a national security threat.

By mapping military locations in Russia alongside the location data, I identified military personnel in seconds.

Again, this is just a „sample“. pic.twitter.com/bHkmc6yROv

— Baptiste Robert (@fs0c131y) January 8, 2025

Majiteľov iPhonov mohla ochrániť funkcia z iOS 14.5

Uniknuté dáta ukazujú, že lokalizačné údaje sú prepojené s reklamnými identifikátormi, ktoré aplikácie používajú na sledovanie používateľov. Na systéme Android sa tieto dáta viažu na Android Advertising ID (AAID), ktorý si môžu používatelia manuálne resetovať.

Na iOS je podobnou metrikou Identifier for Advertisers (IDFA) a ide o jedinečný reťazec priradený k zariadeniu. Majiteľov iPhonov tak mohla ochrániť funkcia App Tracking Transparency (ATT), ktorá umožňuje používateľom zakázať sledovanie naprieč aplikáciami. Pri jej aktivácii iOS neposkytuje aplikáciám IDFA. Majitelia iPhonov, ktorí mali sledovanie vypnuté, tak boli ochránení.

Pôvodný článok:

Spoločnosť Gravy Analytics, ktorá sa špecializuje na spracovanie lokalizačných údajov zo smartfónov, čelí masívnemu kybernetickému útoku. Hackeri tvrdia, že ukradli 17 terabajtov citlivých informácií, vrátane údajov o zákazníkoch, presných polohách používateľov a prístupu k interným systémom spoločnosti. Útočníci zverejnili výstrahu a hrozia, že údaje odhalia, ak spoločnosť nezaplatí výkupné.

Lokalizačné údaje získané z rôznych aplikácií predstavujú výnosný biznis, ale aj obrovské riziko pre súkromie. Gravy Analytics a jej dcérska spoločnosť Venntel dlhodobo obchodujú s lokalizačnými údajmi, ktoré sú predávané komerčným subjektom aj vládnym agentúram.

Podľa žaloby Federálnej obchodnej komisie (FTC) však spoločnosť nelegálne zhromažďovala a predávala citlivé údaje bez súhlasu používateľov, pričom medzi sledovanými miestami boli zdravotnícke zariadenia, vládne budovy či miesta bohoslužieb. Na tému upozornil portál 404media.

Výnosný biznis, ale obrovské riziko

Ako uvádza portál Wired, únik údajov z Gravy Analytics odhalil, že niektoré z najpopulárnejších aplikácií, ako Candy Crush, Tinder, MyFitnessPal, ale aj rôzne náboženské aplikácie, sú zapojené do nelegálneho zberu lokalizačných údajov. Tieto aplikácie zhromažďujú citlivé informácie cez reklamné ekosystémy, a to bez vedomia používateľov alebo dokonca vývojárov samotných aplikácií.

Údaje, ktoré končia v rukách Gravy a jej dcérskej spoločnosti Venntel, pochádzajú z online reklamného systému, kde sa údaje o polohách používateľov získavajú počas reálneho ponúkania reklám (real-time bidding, RTB). Tento proces sa dejú nepozorovane, pričom vývojári aplikácií nemusia vedieť, že ich aplikácie sa využívajú na zber dát.

Unsplash

Vlády nakupujú, regulácie chýbajú

Únik odhalil, že lokalizačné údaje sa nevyužívajú len na marketingové účely, ale často sa predávajú aj vládnym agentúram. V roku 2023 Národný úrad pre spravodajstvo USA informoval, že spravodajské služby nakupujú tieto údaje na sledovanie, čo obchádza zákony obmedzujúce priame sledovanie amerických občanov.

Podľa Baptista Roberta, experta na ochranu súkromia, sú lokalizačné údaje mimoriadne cenné, no ich zneužitie môže mať fatálne dôsledky. „Aj keď údaje neobsahujú mená, stačí analyzovať ich pohyb, aby ste zistili, kde daná osoba býva, pracuje alebo trávi voľný čas,“ uviedol.

Example of deanonymization:
– Dec 29, 7:08 PM: Seen at Columbus Circle, NYC.
– Later: Returned home to a TN town with a registered locksmith business.
– Next day: Visited his mother, Carol. His father was an USAF vet and passed 3 years ago.

Yes, you can be tracked. pic.twitter.com/MtViWTbpgf

— Baptiste Robert (@fs0c131y) January 8, 2025

Gravy Analytics zatiaľ na incident nereagovala a jej webová stránka zostáva nedostupná. Únik však podčiarkuje potrebu legislatívnej ochrany súkromia a prísnejších regulácií pre priemysel spracovania dát, ktorý sa v USA stále vyhýba jasným pravidlám. Pre spoločnosti zaoberajúce sa zhromažďovaním údajov je táto situácia varovným signálom, že sa stávajú čoraz atraktívnejším cieľom pre kybernetických útočníkov.