Gravy Analytics数据泄露事件威胁到全球数百万人的隐私,这些人的智能手机应用无意中暴露了他们被大数据公司收集的位置信息。
尽管目前尚不清楚此次数据泄露的规模,但据称黑客已经发布了来自顶级消费者手机应用(包括健身、健康、约会和交通应用,以及热门游戏)的大量位置数据样本。这些数据涵盖了人们去过的地点、居住地、工作地以及旅行路线等信息。
上周,一名黑客在俄罗斯语封闭访问的网络犯罪论坛上发布了位置数据截图,声称从Gravy Analytics窃取了数TB的消费者数据。独立新闻机构404 Media率先报道了该论坛帖子中提到的疑似漏洞事件,声称包括数百万智能手机的历史位置数据。
Norwegian广播公司NRK于1月11日报道,Unacast(Gravy Analytics的母公司)已向挪威的数据保护机构披露了此次漏洞事件,这是根据其法律要求进行的。
成立于2004年的Unacast在2023年与Gravy Analytics合并,声称创建了一个“最大的”消费者位置数据集合。Gravy Analytics声称每天追踪全球超过十亿台设备。
Unacast在其向挪威提交的数据泄露通知中表示,在1月4日发现一名黑客通过“被盗密钥”获取了其亚马逊云环境中的文件。Unacast表示是通过与黑客沟通得知该漏洞事件,但未提供进一步细节。该公司表示,在漏洞事件发生后短暂关闭了运营。
Unacast还向英国的数据保护机构报告了此次漏洞事件。英国信息专员办公室(ICO)发言人Lucy Milburn向TechCrunch确认,ICO已收到Gravy Analytics的报告并正在调查。
Unacast高管Jeff White和Thomas Walle本周多次拒绝TechCrunch的采访请求。周日,从一个通用Gravy Analytics电子邮件账户发出的一份未署名声明中,Unacast承认了该漏洞事件,并表示其调查仍在进行中。
截至撰写本文时,Gravy Analytics的网站仍处于关闭状态。TechCrunch在过去一周内检查发现,与Gravy Analytics相关的其他多个域名也似乎无法正常运行。
迄今为止已泄露3000万条位置数据点
隐私倡导者长期警告数据经纪人对个人隐私和国家安全的风险。黑客发布的Gravy Analytics位置数据样本的研究人员表示,这些信息可以广泛追踪人们的行踪。
Baptiste Robert是数字安全公司Predicta Lab的CEO,在X平台上发布的一条线程中表示,泄露的数据集包含超过3000万条位置数据点。这些数据包括位于华盛顿特区白宫、莫斯科克里姆林宫、梵蒂冈城以及世界各地军事基地的设备位置。Robert分享的一张地图显示了英国各地Tinder用户的地理位置。在另一条帖子中,Robert展示了将被盗位置数据与已知俄罗斯军事设施的位置重叠以识别可能担任军事人员个体的可能性。
Robert警告称,这些数据还允许轻松匿名化普通个体;例如,在一个例子中,该数据追踪了一人从纽约到田纳西州家中的旅程。Forbes报道了该数据集对LGBTQ+用户的风险,因为某些应用中的位置数据可能在禁止同性恋行为的国家识别出他们。
联邦贸易委员会禁止收集和出售美国人的位置信息
联邦贸易委员会在此次漏洞事件发生几周前禁止Gravy Analytics及其子公司Venntel(为政府机构和执法部门提供位置信息)未经消费者同意收集和出售美国人位置信息。FTC指控该公司非法跟踪数百万人前往敏感地点(如医疗诊所和军事基地)的行为。
广告网络中的位置数据提取
Gravy Analytics从一种称为实时竞价的过程获取大部分位置数据。这是在线广告行业的一个关键部分,在毫秒级拍卖过程中决定哪个广告商将向您的设备展示广告。
在此近瞬间拍卖过程中,所有竞价广告商都可以看到一些关于您设备的信息(如制造商和型号类型、IP地址等),这可以用来推断一个人的大致地理位置;在某些情况下,在用户允许的情况下还可以获得更精确的位置信息以及其他技术因素来确定将向用户展示哪个广告。
但作为此过程的结果,任何参与竞价或密切监控这些拍卖的人也可以访问包含设备信息的所谓“投标流”数据库。
包括政府在内的数据经纪人可以将从其他来源收集的信息与这些个体的信息结合起来绘制出他们生活的详细图景。
安全研究人员对这些地理位置数据分析表明,数千个展示广告的应用程序往往无意间共享了投标流数据给大数据经纪人。
如何防止广告监视
Digital权利组织Electronic Frontier Foundation指出,在几乎每个网站上都会发生广告拍卖。
使用广告拦截器或移动级别的内容拦截器可以有效防止广告监视,在用户的浏览器开始加载广告代码之前阻止其加载。
Android设备和iPhone内置了一些设备级别的功能使得广告商更难跨应用或跨网络跟踪您,并将您的假名设备信息链接到您的真实身份。
EFF也有指南说明如何检查这些设备设置。
如果您使用的是Apple设备,请进入“设置”中的“跟踪”选项并关闭应用程序请求跟踪的功能。这会清零您的设备唯一标识符,使其无法与其他人的区分开来。
Baptiste Robert告诉TechCrunch:“如果您禁用应用程序跟踪,则不会共享您的数据。”
Android用户应进入手机设置中的“隐私”然后“广告”部分。如果可用,请删除您的广告ID以防止任何应用程序在未来访问您的设备唯一标识符;如果没有此设置,请定期重置您的广告ID。
当不需要时阻止应用程序访问您精确的位置也将有助于减少您的数据足迹。
