Resumo
- Um grande hack revelou que a empresa de dados de localização Gravy Analytics está acumulando dados confidenciais, como coordenadas do usuário.
- Os hackers revelaram que os dados de localização estão sendo armazenados através do uso indevido do processo de licitação em tempo real, que permite às empresas fazerem lances por espaço publicitário em aplicativos populares para smartphones.
- Aplicativos de namoro como Tinder e Grindr, além de jogos como Temple Run, Candy Crush e outros, estão entre os aplicativos afetados.
Há um certo nível de confiança envolvido quando compartilhamos nossos dados de localização com aplicativos de smartphone, mesmo que seja um aplicativo de grande nome que usamos quase todos os dias. A desvantagem é que empresas mal-intencionadas sempre podem tentar tirar vantagem dessa situação e obter acesso a dados que não deveriam. Um hack massivo trouxe agora à luz outro caso em que um corretor de dados colocou em risco os dados de localização de milhões de pessoas.
Relacionado
Hacker da AT&T e Ticketmaster é preso após ameaçar vazar dados de clientes
De acordo com autoridades
Quase todos os aplicativos populares que existem agora vêm com anúncios. Geralmente, o objetivo é ajudar o desenvolvedor do aplicativo a manter as luzes acesas enquanto os clientes podem usar o aplicativo sem pagar um centavo. No passado, as empresas de dados de localização tinham que pagar aos desenvolvedores de aplicativos para incluir código em seus aplicativos para obter dados de localização. Mas, como escreve o jornalista investigativo Joseph Cox na Wired e na 404 Media, as partes interessadas não precisam mais usar esse método e, em vez disso, passam por um processo chamado RTB ou licitação em tempo real.
Com o RTB, as empresas de publicidade fazem lances entre si pela atenção do usuário dentro de um aplicativo específico. Esse processo envolve aplicativos que compartilham alguns dados com anunciantes, que podem incluir, entre outras coisas, seus dados de localização. O que esse hack revela é que a Gravy Analytics, uma empresa de dados de localização, está retendo muitos dados do usuário, incluindo coordenadas de smartphones, e está disposta a vendê-los ao licitante com lance mais alto. A clientela da Gravy inclui entidades governamentais e comerciais, o que levanta ainda mais receios sobre vigilância ilegal.
O pesquisador de segurança Krzysztof Franaszek disse à 404 Media que a maioria dos dados de geolocalização hackeados foram obtidos através de endereços IP e não de dados de GPS. Independentemente disso, o grande volume e tipo de aplicativos afetados aqui, juntamente com o fato de que isso parece ter acontecido sem o conhecimento dos desenvolvedores de aplicativos, é bastante alarmante.
Milhares de aplicativos em diversas categorias são afetados
Hackers postaram esta captura de tela no fórum de crimes cibernéticos XSS
Embora a lista inteira seja muito longa para listar (mais de 12.000), alguns dos principais nomes mencionados são aplicativos de namoro como Tinder e Grindr, aplicativo de rastreamento de voo Flightradar24, vários aplicativos de rastreamento de período, aplicativos VPN, além de jogos como Temple Run, Subway Surfers, e Candy Crush. O pessoal da 404 Media compilou uma planilha exaustiva contendo alguns desses aplicativos, que você pode encontrar aqui.
“Um corretor de dados de localização como o Gravy Analytics sendo hackeado é o cenário de pesadelo que todos os defensores da privacidade temiam e alertaram. Os danos potenciais para os indivíduos são assustadores, e se todos os dados de localização em massa dos americanos acabarem sendo vendidos em mercados clandestinos, isso será criam incontáveis riscos de desanonimização e preocupações de rastreamento para indivíduos e organizações de alto risco”, disse Zach Edwards, analista sênior de ameaças da Silent Push, à 404 Media.
Alguns fabricantes de aplicativos como Tinder e Grindr (ambos de propriedade do Match Group) disseram à 404 Media que não tinham negócios com a Gravy Analytics. Vale ressaltar que esse acúmulo de dados de localização do usuário afeta dispositivos Android e iOS. O Google e a Apple ainda não comentaram este relatório contundente, embora suspeitemos que não demorará muito até que emitam uma declaração.
Relacionado
7 aplicativos Android com foco na privacidade que uso para manter meus dados seguros
Aplicativos Android essenciais para bloquear seus dados
Os hackers que trouxeram esta história à tona enviaram amostras de dados detalhando a culpabilidade da Gravy Analytics no assunto. Além disso, o grupo de hackers postou mensagens em dois sites da Gravy detalhando brevemente a natureza do hack. Capturas de tela dessas mensagens foram postadas no obscuro fórum de crimes cibernéticos XSS, que não é visível publicamente. No entanto, uma fonte da 404 Media conseguiu acessá-los (foto acima) e compartilhou com a publicação.
