Брокер данных Gravy Analytics был взломан, и информация о местоположении миллионов пользователей iPhone и Android находится под угрозой, сообщает TechCrunch. Материнская компания Gravy Analytics, Unacast, раскрыла информацию об утечке данных ранее в этом месяце [PDF] и заявила, что к их облачной среде хранения AWS получил доступ неавторизованный пользователь, применив «неправомерно полученный ключ доступа».

Были получены «некоторые файлы», и предварительные данные свидетельствуют о том, что эти файлы «могут содержать персональные данные», собранные у пользователей сторонних сервисов, использующих Gravy Analytics. Согласно 404Media, хакеры заявляют, что у них есть списки клиентов и данные о местоположении со смартфонов, которые показывают точные перемещения людей, при этом затронуты миллионы пользователей. Часть этих данных, которые действительно включают историю местоположения смартфонов, была опубликована на закрытых форумах.

Gravy Analytics заявляет, что ежедневно отслеживает более миллиарда устройств по всему миру, а исследователи безопасности, видевшие образец данных, собранных Gravy Analytics, подтвердили, что информация может быть использована для отслеживания недавних местоположений человека без какой-либо анонимизации.

В декабре Федеральная торговая комиссия США (FTC) запретила Gravy Analytics и её дочерней компании Venntel продавать, раскрывать или использовать конфиденциальные данные о местоположении в любых продуктах или услугах. FTC предупредила, что обе компании подвергли потребителей рискам нарушения конфиденциальности, которые могут включать раскрытие медицинской информации, политической деятельности и религиозных убеждений, а также поставили людей под угрозу стигматизации, дискриминации, насилия и других видов вреда.

Приказ требовал от Gravy Analytics удалить все исторические данные о местоположении и любые продукты данных, разработанные с использованием информации, собранной от потребителей, но, по всей видимости, было уже слишком поздно, поскольку системы компании, вероятно, уже были взломаны к тому времени.

Gravy Analytics собирает данные о местоположении через процесс торгов за рекламу в реальном времени, который позволяет компаниям, конкурирующим за покупку рекламы, видеть IP-адрес клиента и более точные данные о местоположении, если это разрешено. База данных Gravy Analytics содержала данные о местоположении из приложений для ‌iPhone‌, включая FlightRadar, Grindr и Tinder, и хотя у приложений не было прямых отношений с брокером данных, информация о местоположении пользователей собиралась через их рекламу.

Отключение отслеживания приложений в разделе «Конфиденциальность и безопасность» приложения «Настройки» ‌iPhone‌ предотвращает получение рекламными объявлениями уникального идентификатора устройства для привязки данных о местоположении к конкретному устройству, а запрет приложениям использовать точные данные о местоположении также является способом сохранения большей конфиденциальности.

Батист Робер, генеральный директор охранной фирмы Predicta Lab, сообщил TechCrunch, что данные пользователей ‌iPhone‌, отключивших отслеживание приложений, не были переданы.