Un hackeo y una violación de datos en el corredor de datos de ubicación Gravy Analytics está amenazando la privacidad de millones de personas en todo el mundo, cuyas aplicaciones de teléfonos inteligentes revelaron sin saberlo sus datos de ubicación recopilados por el gigante de los datos.

Aún no se conoce la magnitud total de la violación de datos, pero el presunto hacker ya ha publicado una gran muestra de datos de ubicación de las principales aplicaciones telefónicas de consumo, incluidas aplicaciones de fitness y salud, citas y tránsito, así como juegos populares. Los datos representan decenas de millones de puntos de datos de ubicación de dónde han estado, viven, trabajan y viajan las personas.

La noticia de la violación se conoció el fin de semana pasado después de que un pirata informático publicara capturas de pantalla de datos de ubicación en un foro de cibercrimen de acceso cerrado en ruso, alegando que habían robado varios terabytes de datos de consumidores de Gravy Analytics. Medio de comunicación independiente 404 Medios informó por primera vez la publicación del foro que alegaba la aparente violación, que afirmaba incluir datos históricos de ubicación de millones de teléfonos inteligentes.

La emisora ​​​​noruega NRK informó el 11 de enero que Unacast, la empresa matriz de Gravy Analytics, reveló el incumplimiento con las autoridades de protección de datos del país según lo exige su legislación.

Unacast, fundada en Noruega en 2004, se fusionó con Gravy Analytics en 2023 para crear lo que promocionó en ese momento como “una de las mayores” colecciones de datos de ubicación de los consumidores. Gravy Analytics afirma rastrear más de mil millones de dispositivos en todo el mundo diariamente.

En su aviso de violación de datos Presentado ante Noruega, Unacast dijo que identificó el 4 de enero que un pirata informático adquirió archivos de su entorno de nube de Amazon a través de una «clave malversada». Unacast dijo que se enteró de la violación a través de la comunicación con el pirata informático, pero la compañía no dio más detalles. La compañía dijo que sus operaciones se desconectaron brevemente después de la infracción.

Unacast dijo en el aviso que también notificó a las autoridades de protección de datos del Reino Unido sobre la violación. Un portavoz de la Oficina del Comisionado de Información del Reino Unido no hizo comentarios de inmediato el lunes cuando TechCrunch lo contactó.

Los ejecutivos de Unacast, Jeff White y Thomas Walle, no respondieron varios correos electrónicos de TechCrunch esta semana solicitando comentarios. En una declaración no atribuida de una cuenta de correo electrónico genérica de Gravy Analytics enviado a TechCrunch El domingo, Unacast reconoció la violación y dijo que su “investigación continúa en curso”.

El sitio web de Gravy Analytics todavía estaba inactivo al momento de escribir este artículo. Varios otros dominios asociados con Gravy Analytics tampoco parecían funcionales, según las comprobaciones realizadas por TechCrunch durante la semana pasada.

Hasta ahora se han filtrado 30 millones de puntos de datos de ubicación

Los defensores de la privacidad de los datos llevan mucho tiempo advirtiendo sobre los riesgos que los intermediarios de datos plantean para la privacidad de las personas y la seguridad nacional. Los investigadores con acceso a la muestra de datos de ubicación de Gravy Analytics publicados por el hacker dicen que la información se puede utilizar para rastrear ampliamente el paradero reciente de las personas.

Baptiste Robert, director ejecutivo de la empresa de seguridad digital Predicta Lab, quien obtuvo una copia del conjunto de datos filtrado, dijo en un hilo en X que el conjunto de datos contenía más de 30 millones de puntos de datos de ubicación. Estos incluyeron dispositivos ubicados en la Casa Blanca en Washington DC; el Kremlin en Moscú; Ciudad del Vaticano; y bases militares en todo el mundo. Uno de los mapas compartidos por Robert. mostró los datos de ubicación de los usuarios de Tinder en todo el Reino Unido. En otra publicaciónRobert demostró que era posible identificar personas que probablemente sirvieran como personal militar superponiendo los datos de ubicación robados con las ubicaciones de instalaciones militares rusas conocidas.

Robert advirtió que los datos también permiten una fácil desanonimización de personas comunes y corrientes; en un ejemplo, los datos rastrearon a una persona mientras viajaba desde Nueva York a su casa en Tennessee. Forbes informó sobre los peligros que tiene el conjunto de datos para los usuarios LGBTQ+, cuyos datos de ubicación derivados de ciertas aplicaciones podrían identificarlos en países que criminalizan la homosexualidad.

La noticia de la violación llega semanas después de que la Comisión Federal de Comercio prohibiera a Gravy Analytics y su subsidiaria Venntel, que proporciona datos de ubicación a agencias gubernamentales y fuerzas del orden, recopilar y vender datos de ubicación de los estadounidenses sin el consentimiento de los consumidores. La FTC acusó a la empresa de rastrear ilegalmente a millones de personas hasta lugares sensibles, como clínicas de atención médica y bases militares.

Datos de ubicación obtenidos de redes publicitarias

Gravy Analytics obtiene gran parte de sus datos de ubicación de un proceso llamado oferta en tiempo realuna parte clave de la industria de la publicidad en línea que determina durante una subasta de milisegundos qué anunciante entrega su anuncio en su dispositivo.

Durante esa subasta casi instantánea, todos los anunciantes que pujan pueden ver cierta información sobre su dispositivo, como el fabricante y el tipo de modelo, sus direcciones IP (que pueden usarse para inferir la ubicación aproximada de una persona) y, en algunos casos, más. datos de ubicación precisos si los otorga el usuario de la aplicación, junto con otros factores técnicos que ayudan a determinar qué anuncio se mostrará a un usuario.

Pero como subproducto de este proceso, cualquier anunciante que haga una oferta, o cualquiera que siga de cerca estas subastas, también puede acceder a ese tesoro de datos llamados «bidstream» que contienen información del dispositivo. Los intermediarios de datos, incluidos los que venden a los gobiernos, pueden combinar esa información recopilada con otros datos sobre esas personas de otras fuentes para pintar una imagen detallada de la vida y el paradero de alguien.

Análisis de los datos de ubicación por parte de investigadores de seguridad. incluido Robert de Predicta Labrevelan miles de aplicaciones que muestran anuncios que han compartido, a menudo sin saberlo, datos de ofertas con corredores de datos.

El conjunto de datos contiene datos derivados de aplicaciones populares de Android y iPhone, incluidas FlightRadar, Grindr y Tinder, todas las cuales negaron cualquier vínculo comercial directo con Gravy Analytics, pero reconocieron la visualización de anuncios. Pero por la naturaleza de cómo funciona la industria de la publicidad, es posible que las aplicaciones que publican anuncios recopilen los datos de sus usuarios sin conocerlo explícitamente ni aceptarlo.

Como señalado por 404 Mediano está claro cómo Gravy Analytics obtuvo su enorme cantidad de datos de ubicación, por ejemplo, si la empresa recopiló los datos por sí misma o de otros intermediarios de datos. 404 Media descubrió que grandes cantidades de datos de ubicación se dedujeron de la dirección IP del propietario del dispositivo, que está geolocalizada para aproximarse a su ubicación en el mundo real, en lugar de depender de que el propietario del dispositivo permita que la aplicación acceda a las coordenadas GPS precisas del dispositivo.

Qué puedes hacer para prevenir la vigilancia publicitaria

Por grupo de derechos digitales Electronic Frontier Foundationlas subastas de anuncios se realizan en casi todos los sitios web, pero existen medidas que puede tomar para protegerse de la vigilancia publicitaria.

El uso de un bloqueador de anuncios, o un bloqueador de contenido a nivel móvil, puede ser una defensa eficaz contra la vigilancia publicitaria al bloquear, para empezar, la carga del código publicitario en los sitios web en el navegador del usuario.

Los dispositivos Android y iPhone también incorporan funciones a nivel de dispositivo que dificultan que los anunciantes lo rastreen entre aplicaciones o en la web, y vinculan los datos seudónimos de su dispositivo con su identidad en el mundo real. La FEP también tiene una buena guía sobre cómo comprobar la configuración de estos dispositivos.

Si tiene un dispositivo Apple, puede ir a las opciones de «Seguimiento» en su Configuración y desactivar la configuración para que las solicitudes de aplicaciones realicen un seguimiento. Esto pone a cero el identificador único de su dispositivo, haciéndolo indistinguible del de cualquier otra persona.

«Si desactiva el seguimiento de la aplicación, sus datos no se compartirán», dijo Robert a TechCrunch.

Los usuarios de Android deben ir a la sección «Privacidad» y luego a «Anuncios» en la configuración de su teléfono. Si la opción está disponible, puede eliminar su ID de publicidad para evitar que cualquier aplicación de su teléfono acceda al identificador único de su dispositivo en el futuro. Aquellos que no tengan esta configuración deberían restablecer periódicamente sus ID de publicidad.

Evitar que las aplicaciones accedan a su ubicación precisa cuando no es necesario también ayudará a reducir su huella de datos.