Một vụ vi phạm dữ liệu vô lợi của Gravy Analytics đe dọa sự riêng tư của hàng triệu người

Một vụ hack và vi phạm dữ liệu tại công ty môi giới dữ liệu vị trí Gravy Analytics đang đe dọa sự riêng tư của hàng triệu người trên khắp thế giới, những người đã không biết rằng ứng dụng điện thoại thông minh của họ đã tiết lộ dữ liệu vị trí được thu thập bởi khổng lồ dữ liệu này.

Hiện chưa biết rõ quy mô đầy đủ của vụ vi phạm dữ liệu, nhưng người tuyên bố là hacker đã công bố một mẫu lớn dữ liệu vị trí từ các ứng dụng điện thoại tiêu dùng hàng đầu - bao gồm các ứng dụng về thể dục và sức khỏe, hẹn hò, vận tải cùng các trò chơi phổ biến. Dữ liệu đại diện cho hàng chục triệu điểm dữ liệu vị trí của nơi mà mọi người đã đi, sống, làm việc và đi lại giữa.

Tin tức về vụ vi phạm đã xuất hiện vào cuối tuần trước sau khi một hacker đăng ảnh chụp màn hình của dữ liệu vị trí trên một diễn đàn tội phạm mạng ngôn ngữ Nga, tuyên bố họ đã đánh cắp một số terabyte dữ liệu của người tiêu dùng từ Gravy Analytics. Trang tin độc lập 404 Media đầu tiên đưa tin về bài đăng trên diễn đàn tố cáo vụ vi phạm mà vẻ ngoài, đòi hỏi bao gồm lịch sử dữ liệu vị trí của triệu điện thoại di động.

Đài phát thanh Na Uy NRK đưa tin vào ngày 11 tháng 1 rằng Unacast, công ty mẹ của Gravy Analytics, đã tiết lộ vụ vi phạm với các cơ quan bảo vệ dữ liệu của đất nước theo luật pháp.

Unacast, được thành lập tại Na Uy vào năm 2004, hợp nhất với Gravy Analytics vào năm 2023 để tạo ra điều Unacast tuyên bố là “tập hợp lớn nhất” của dữ liệu vị trí của người tiêu dùng. Gravy Analytics cho biết họ theo dõi hơn một tỷ thiết bị trên thế giới mỗi ngày.

Trong bảng thông báo vi phạm dữ liệu của mình được nộp tại Na Uy, Unacast cho biết họ đã nhận ra vào ngày 4 tháng 1 rằng một hacker đã có được các tệp từ môi trường đám mây của Amazon thông qua một “chìa khóa đã bị chiếm đoạt”. Unacast nói họ biết về vụ vi phạm thông qua việc giao tiếp với hacker, nhưng công ty không cung cấp thêm chi tiết. Công ty nói rằng hoạt động của họ đã tạm thời bị ngừng sau vụ vi phạm.

Unacast cũng thông báo cho cơ quan bảo vệ dữ liệu của Anh về vụ vi phạm. Lucy Milburn, người phát ngôn của văn phòng Ủy ban Thông tin Anh, đã xác nhận với TechCrunch rằng ICO đã “nhận được một báo cáo từ Gravy Analytics và đang tiến hành điều tra”.

Các giám đốc Unacast Jeff White và Thomas Walle không trả lời nhiều email từ TechCrunch tuần này yêu cầu bình luận. Trong một tuyên bố không ghi tác giả từ một tài khoản email Gravy Analytics chung được gửi đến TechCrunch vào Chủ nhật, Unacast công nhận về vi phạm, nói rằng “cuộc điều tra của chúng tôi vẫn đang tiếp tục”.

Trang web của Gravy Analytics vẫn đang bị tắt tại thời điểm viết bài. Một số tên miền khác liên quan đến Gravy Analytics cũng có vẻ không hoạt động, theo kiểm tra của TechCrunch trong suốt tuần vừa qua.

30 triệu điểm dữ liệu vị trí đã bị rò rỉ cho đến nay

Các nhà bảo vệ quyền riêng tư dữ liệu đã cảnh báo về các rủi ro mà các môi giới dữ liệu đem lại cho sự riêng tư cá nhân và an ninh quốc gia. Các nhà nghiên cứu có quyền truy cập vào mẫu dữ liệu vị trí của Gravy Analytics được đăng bởi hacker nói rằng thông tin này có thể được sử dụng để theo dõi một cách chi tiết các địa điểm gần đây của con người.

Baptiste Robert, CEO của công ty an ninh số Predicta Lab, đã có được một bản sao của tập dữ liệu bị rò rỉ, nói trong một luồng trên X rằng tập dữ liệu chứa hơn 30 triệu điểm dữ liệu vị trí. Điều này bao gồm các thiết bị được đặt tại Nhà Trắng ở Washington, D.C .; Dinh Tổng Thống ở Moscow; Thành Vatican; và các căn cứ quân sự trên toàn thế giới. Một trong số bản đồ được chia sẻ bởi Robert cho thấy dữ liệu vị trí của người dùng Tinder trên khắp Vương quốc Anh. Trong một bài viết khác, Robert cho thấy có thể xác định được cá nhân có khả năng là người phục vụ trong quân đội bằng cách chồng chập dữ liệu vị trí bị đánh cắp với các vị trí của các cơ sở quân đội Nga đã biết đến.

Robert cảnh báo rằng dữ liệu cũng cho phép tách biệt dễ dàng các cá nhân bình thường; trong một ví dụ, dữ liệu theo dõi một người khi họ đi từ New York đến nhà ở Tennessee của họ. Forbes đưa tin về các nguy cơ mà tập dữ liệu mang lại cho người dùng LGBTQ+ , dữ liệu vị trí của họ xuất phát từ các ứng dụng cụ thể có thể xác định họ ở các quốc gia hình phạt đồng tính.

Tin tức về vụ vi phạm đến sau vài tuần sau khi Ủy ban Thương mại Liên bang cấm Gravy Analytics và công ty con của nó Venntel, cung cấp dữ liệu vị trí cho các cơ quan chính phủ và các cơ quan thực thi pháp luật, không được thu thập và bán dữ liệu vị trí của người Mỹ mà không có sự đồng ý của người tiêu dùng. FTC buộc tội công ty theo dõi bất hợp pháp hàng triệu người đến các địa điểm nhạy cảm, như các phòng khám y tế và các cơ sở quân sự.

Dữ liệu vị trí được thu thập từ các mạng quảng cáo

Gravy Analytics lấy nguồn dữ liệu vị trí chủ yếu từ quá trình gọi thầu thời gian thực, một phần không thể thiếu của ngành quảng cáo trực tuyến xác định trong một cuộc đấu giữa noãn giữa các nhà quảng cáo xem nhà nào sẽ được phép hiển thị quảng cáo của mình trên thiết bị của bạn trong một phiên đấu giá kéo dài vài mili giây.

Trong thời gian đó gần như tức thì của cuộc đấu giá, tất cả các nhà quảng cáo góp phần có thể thấy một số thông tin về thiết bị của bạn, như nhà sản xuất và loại mẫu thiết bị, địa chỉ IP của nó (có thể được sử dụng để suy đoán vị trí xấp xỉ của một cá nhân), và, trong một số trường hợp, dữ liệu vị trí chính xác hơn nếu được cấp phép bởi người dùng ứng dụng, cùng với các yếu tố kỹ thuật khác giúp xác định quảng cáo nào sẽ được hiển thị cho người dùng.

Nhưng như một sản phẩm phụ của quy trình này, bất kỳ nhà quảng cáo nào ra giá - hoặc bất kỳ ai theo dõi cẩn thận cuộc đấu giá này - cũng có thể truy cập vào nguồn dữ liệu rất lớn được gọi là “dữ liệu luồng giá” chứa thông tin về thiết bị. Các môi giới dữ liệu, bao gồm những người bán cho chính phủ, có thể kết hợp thông tin thu thập đó với các dữ liệu khác về những cá nhân đó từ các nguồn khác để vẽ ra một bức tranh chi tiết về cuộc sống và nơi ở của ai đó.

Phân tích dữ liệu vị trí của các nhà nghiên cứu bảo mật, bao gồm Robert từ Predicta Lab, cho thấy hàng ngàn ứng dụng hiển thị quảng cáo đã chia sẻ, thường là không biết, dữ liệu luồng giá với các môi giới dữ liệu.

Tập dữ liệu chứa dữ liệu xuất phát từ các ứng dụng Android và iPhone phổ biến, bao gồm FlightRadar, Grindr và Tinder - tất cả đều đã từ chối liên kết kinh doanh trực tiếp với Gravy Analytics nhưng thừa nhận đã hiển thị quảng cáo. Nhưng với bản chất hoạt động của ngành quảng cáo, có khả năng để các ứng dụng hiển thị quảng cáo của họ có dữ liệu của người dùng được thu thập trong khi cũng không rõ ràng biết về hoặc đồng ý với điều này.

Theo 404 Media, vẫn không rõ Gravy Analytics khai thác ra các nguồn dữ liệu vị trí lớn của mình như thế nào, chẳng hạn như công ty có thu thập dữ liệu tự mình hay từ các môi giới dữ liệu khác. 404 Media phát hiện rằng một lượng lớn dữ liệu vị trí được suy luận từ địa chỉ IP chủ sở hữu thiết bị, có địa lý định vị xấp xỉ đến vị trí thực của họ, thay vì dựa vào chủ sử dụng thiết bị cho phép ứng dụng truy cập vào vị trí GPS chính xác của thiết bị.

Điều gì bạn có thể làm để ngăn chặn giám sát quảng cáo

Theo nhóm quyền số của tổ chức Electronic Frontier Foundation, các cuộc đấu giá quảng cáo xảy ra trên hầu hết mọi trang web, nhưng có biện pháp bạn có thể thực hiện để bảo vệ bản thân khỏi giám sát quảng cáo.

Sử dụng một công cụ chặn quảng cáo - hoặc công cụ chặn nội dung cấp độ di động - có thể là một phòng thủ hiệu quả chống lại giám sát do chặn mã quảng cáo khỏi tải trên trang web trong trình duyệt người dùng.

Các thiết bị Android và iPhone cũng có tính năng ở cấp độ thiết bị giúp làm cho việc theo dõi của nhà quảng cáo giữa các ứng dụng hoặc trên web khó khăn hơn và liên kết dữ liệu giả tưởng của thiết bị của bạn với danh tính thực của bạn. EFF cũng có hướng dẫn tốt về cách kiểm tra các cài đặt thiết bị này.

Nếu bạn có một thiết bị Apple, bạn có thể vào mục “Theo dõi” trong Cài đặt của bạn và tắt cài đặt yêu cầu cho ứng dụng theo dõi. Điều này làm cho máy của bạn không có mã xác định độc đáo, làm cho nó không thể phân biệt với bất kỳ ai khác.

“Nếu bạn tắt việc theo dõi ứng dụng, dữ liệu của bạn chưa được chia sẻ,” Robert nói với TechCrunch.

Người dùng Android nên vào mục “Riêng tư” rồi mục “Quảng cáo” trong cài đặt điện thoại của họ. Nếu tùy chọn có sẵn, bạn có thể xóa ID quảng cáo của mình để ngăn bất kỳ ứng dụng nào trên điện thoại của bạn truy cập vào bộ nhận dạng độc đáo của thiết bị của bạn trong tương lai. Những người không có mục này nên vẫn thường xuyên đặt lại ID quảng cáo của mình.

Ngăn các ứng dụng truy cập vào vị trí ch