Tisuće popularnih mobilnih aplikacija na Androidu i iOS-u navodno se iskorištavaju za prikupljanje osjetljivih podataka o lokaciji u neviđenim razmjerima. Ovo prikupljanje podataka, koje se odvija putem oglašivačkog ekosustava, vjerojatno se događa bez znanja korisnika ili čak samih programera aplikacija.
Informacija dolazi iz hakiranih dokumenata tvrtke Gravy Analytics, tvrtke za podatke o lokaciji, čija je podružnica Venntel ranije prodavala globalne podatke o lokaciji američkim agencijama za provođenje zakona. Ovo je otkrio Wired, koji je surađivao s 404 Media na izradi priče.
Leak podataka razotkrio je široku mrežu aplikacija, od popularnih igara poput Candy Crush do aplikacija za upoznavanje poput Tinder i Grindr. Također uključuje osjetljive kategorije poput aplikacija za praćenje trudnoće i vjerskih molitvi.
“Po prvi put javno, čini se da imamo dokaz da jedan od najvećih trgovaca podacima, koji prodaje klijentima iz komercijalnog i vladinog sektora, nabavlja svoje podatke iz mrežnog oglašivačkog ‘bid streama’, a ne putem koda ugrađenog u same aplikacije,” izjavio je Zach Edwards, viši analitičar u tvrtki za kibernetičku sigurnost Silent Push, za 404 Media.
Ovo otkriće baca svjetlo na svijet real-time biddinga (RTB), procesa u kojem tvrtke licitiraju za postavljanje oglasa unutar aplikacija. Međutim, ovaj sustav ima opasnu nuspojavu: trgovci podacima mogu presresti taj proces i prikupiti podatke o lokaciji korisnika mobilnih telefona.
Razmjeri ovog prikupljanja podataka su zapanjujući. Hakirani podaci tvrtke Gravy uključuju desetke milijuna koordinata mobilnih telefona iz uređaja u Sjedinjenim Državama, Rusiji i Europi. Popis zahvaćenih aplikacija je opsežan, pokrivajući širok raspon kategorija, uključujući društvene mreže, fitness aplikacije, klijente e-pošte pa čak i VPN aplikacije koje korisnici možda preuzimaju kako bi zaštitili svoju privatnost.
Iako se čini da je Gravy Analytics uključen u ovaj proboj podataka, ostaje nejasno je li Gravy sam prikupio te podatke o lokaciji ili ih je dobio iz drugog izvora.
Gravy Analytics igra ključnu ulogu u ovom ekosustavu, agregirajući podatke o lokaciji mobilnih telefona iz raznih izvora i prodajući ih komercijalnim subjektima ili vladinim agencijama putem svoje podružnice Venntel. Prethodne istrage otkrile su da su klijenti Venntela uključivali nekoliko američkih vladinih agencija, poput Imigracijske i carinske službe (ICE), Carinske i granične zaštite (CBP), Porezne uprave (IRS), FBI-a i DEA-e.
Posljedice ovog prikupljanja podataka dalekosežne su, podižući ozbiljne zabrinutosti za privatnost i ističući potencijal da se ti podaci koriste na načine koje korisnici nikada nisu namjeravali ili na koje nisu pristali.
Većina programera aplikacija i tvrtki s popisa nije odgovorila na zahtjeve za komentar. Međutim, Flightradar24 je u emailu naveo da nikada nije čuo za Gravy, ali je priznao prikazivanje oglasa “kako bi Flightradar24 ostao besplatan.”
Tinder je zanijekao bilo kakvu povezanost s Gravy Analyticsom, dok je Muslim Pro, jedna od zahvaćenih aplikacija za molitvu, tvrdio da ne ovlašćuje oglašivačke mreže da prikupljaju podatke o lokaciji svojih korisnika.
Otkrivanje da se čini kako ti podaci potječu iz real-time biddinga posebno je značajno. Prebacuje odgovornost prema nesavjesnim akterima u oglašivačkoj industriji i tehnološkim gigantima koji to omogućuju. Također sugerira da mnogi veliki izdavači aplikacija možda nisu svjesni da se podaci njihovih korisnika prikupljaju, što im otežava poduzimanje preventivnih mjera.
Krzysztof Franaszek, osnivač digitalno-forenzičke tvrtke Adalytics, pregledao je hakirane podatke i primijetio da je “barem dio tih podataka vjerojatno pribavljen iz oglašivačkog procesa real-time bidding.” Uočio je dokaze da Googleova oglašivačka platforma poslužuje neke od oglasa koji omogućuju ovo praćenje od strane vanjskih tvrtki, uključujući potencijalne vladine ugovarače.
Savezna komisija za trgovinu (FTC) nedavno je poduzela mjere protiv sličnih praksi. U prosincu je agencija zabranila tvrtki za podatke o lokaciji Mobilewalla prikupljanje podataka o potrošačima “iz online aukcija oglasa za svrhe osim sudjelovanja u tim aukcijama.” FTC je također naredio Venntelu i Gravy Analyticsu da izbrišu povijesne podatke o lokaciji i zabranio im prodaju podataka povezanih s osjetljivim područjima, poput zdravstvenih klinika i mjesta bogoslužja, osim u ograničenim okolnostima.
