Ορισμένες από τις πιο δημοφιλείς εφαρμογές στον κόσμο πιθανόν να χρησιμοποιούνται από “αδίστακτα μέλη” της διαφημιστικής βιομηχανίας για τη συλλογή ευαίσθητων δεδομένων τοποθεσίας σε τεράστια κλίμακα. Τα δεδομένα αυτά καταλήγουν σε μια εταιρεία εντοπισμού τοποθεσίας, τη Gravy Analytics που η θυγατρική έχει στο παρελθόν πουλήσει παγκόσμια δεδομένα τοποθεσίας σε αμερικανικές αρχές επιβολής του νόμου.

Οι χιλιάδες εφαρμογές που περιλαμβάνονται σε αρχεία που παραβιάστηκαν από την Gravy Analytics κυμαίνονται από παιχνίδια, όπως το Candy Crush και εφαρμογές γνωριμιών όπως το Tinder μέχρι εφαρμογές παρακολούθησης εγκυμοσύνης και θρησκευτικής προσευχής σε Android και iOS. Επειδή μεγάλο μέρος αυτής της συλλογής δεδομένων πραγματοποιείται μέσω του διαφημιστικού “οικοσυστήματος”—και όχι μέσω κώδικα που ανέπτυξαν οι ίδιοι οι δημιουργοί των εφαρμογών—είναι πιθανό αυτή η συλλογή να γίνεται χωρίς τη γνώση των χρηστών ή ακόμα και των ίδιων των προγραμματιστών των εφαρμογών.

«Για πρώτη φορά δημόσια φαίνεται ότι έχουμε αποδείξεις πως ένας από τους μεγαλύτερους “μεσίτες” δεδομένων που πουλάει τόσο σε εμπορικούς όσο και σε κυβερνητικούς πελάτες φαίνεται να αποκτά τα δεδομένα του από τη ροή προσφορών των διαδικτυακών διαφημίσεων (‘bid stream’) και όχι μέσω κώδικα ενσωματωμένου στις ίδιες τις εφαρμογές» δηλώνει ο Zach Edwards, ανώτερος αναλυτής στην εταιρεία κυβερνοασφάλειας Silent Push.

Τα δεδομένα παρέχουν μια σπάνια εικόνα του κόσμου της Real-Time Bidding (RTB), της διαδικασίας όπου εταιρείες πλειοδοτούν σε πραγματικό χρόνο για να τοποθετήσουν διαφημίσεις μέσα σε εφαρμογές. Ιστορικά οι εταιρείες συλλογής δεδομένων τοποθεσίας πλήρωναν τους προγραμματιστές εφαρμογών για να ενσωματώσουν πακέτα κώδικα που συλλέγουν δεδομένα τοποθεσίας. Ωστόσο, πολλές εταιρείες στράφηκαν στη συλλογή δεδομένων μέσω του διαφημιστικού οικοσυστήματος, επιτρέποντας σε μεσίτες δεδομένων να παρακολουθούν αυτή τη διαδικασία και να συλλέγουν δεδομένα τοποθεσίας από κινητά τηλέφωνα.

“Αυτό είναι ένα σενάριο-εφιάλτης για την ιδιωτικότητα,” λέει ο Edwards. “Όχι μόνο περιέχει δεδομένα που έχουν αντληθεί από τα RTB συστήματα, αλλά υπάρχει και κάποια εταιρεία εκεί έξω που ενεργεί ανεξέλεγκτα κάνοντας ό,τι θέλει με κάθε κομμάτι δεδομένων που βρίσκει.”

Στα δεδομένα που παραβιάστηκαν από τη Gravy περιλαμβάνονται δεκάδες εκατομμύρια συντεταγμένες κινητών τηλεφώνων από τις ΗΠΑ, τη Ρωσία και την Ευρώπη. Ορισμένα αρχεία συνδέουν δεδομένα τοποθεσίας με συγκεκριμένες εφαρμογές. Η 404 Media εξήγαγε τα ονόματα των εφαρμογών και δημιούργησε μια λίστα.

Στη λίστα περιλαμβάνονται:

· εφαρμογές γνωριμιών όπως το Tinder και το Grindr,

· δημοφιλή παιχνίδια όπως Candy Crush, Temple Run, Subway Surfers, και Harry Potter: Puzzles & Spells,

· η εφαρμογή μετακινήσεων Moovit,
· η εφαρμογή παρακολούθησης περιόδου My Period Calendar & Tracker,
· η δημοφιλής εφαρμογή φυσικής κατάστασης MyFitnessPal,
· κοινωνικά δίκτυα όπως το Tumblr,
· το email client του Yahoo,
· η εφαρμογή Microsoft 365,
· και η εφαρμογή παρακολούθησης πτήσεων Flightradar24.

Στη λίστα αναφέρονται επίσης πολλές θρησκευτικές εφαρμογές, όπως εφαρμογές μουσουλμανικής προσευχής, χριστιανικές εφαρμογές Βίβλου, διάφορες εφαρμογές παρακολούθησης εγκυμοσύνης, καθώς και πολλές εφαρμογές VPN. Είναι ειρωνικό, καθώς ορισμένοι χρήστες μπορεί να κατεβάζουν VPN για να προστατεύσουν την ιδιωτικότητά τους.

Παρόλο που η βάση δεδομένων φαίνεται να προέρχεται από την παραβίαση της Gravy, δεν είναι σαφές αν η ίδια η Gravy συνέλεξε τα δεδομένα τοποθεσίας ή αν τα απέκτησε από άλλη εταιρεία. Η Gravy αποτελεί έναν σημαντικό παίκτη στη βιομηχανία δεδομένων τοποθεσίας συγκεντρώνοντας δεδομένα από διάφορες πηγές και πουλώντας τα είτε σε εμπορικές εταιρείες είτε, μέσω της θυγατρικής της Venntel σε κυβερνητικές υπηρεσίες των ΗΠΑ.

Η Venntel έχει συνεργαστεί με υπηρεσίες όπως:
· τη Μετανάστευση και Τελωνειακή Επιβολή (ICE),
· την Τελωνειακή και Συνοριακή Προστασία (CBP),
· την Υπηρεσία Εσωτερικών Εσόδων (IRS),
· το FBI,
· και τη Διοίκηση Καταπολέμησης Ναρκωτικών (DEA).

Η Venntel έχει επίσης παρέχει δεδομένα για ένα άλλο εργαλείο παρακολούθησης που αγοράστηκε από την κυβέρνηση, το Locate X που μπορεί να χρησιμοποιηθεί για την παρακολούθηση επισκεπτών σε κλινικές αμβλώσεων εκτός πολιτείας.

Μερικές από τις πιο δημοφιλείς εφαρμογές παγκοσμίως φαίνεται να είναι εν αγνοία τους μέρος μιας αλυσίδας προμήθειας δεδομένων τοποθεσίας, ακόμα και αν οι δημιουργοί τους δεν το γνωρίζουν. Τα νέα παραβιασμένα δεδομένα αποκαλύπτουν για πρώτη φορά την κλίμακα των εφαρμογών που μπορεί να χρησιμοποιούνται για την άντληση αυτών των δεδομένων.

Η πηγή των δεδομένων φαίνεται να είναι η Real-Time Bidding (RTB), μια διαδικασία που επιτρέπει σε εταιρείες να πλειοδοτούν σε πραγματικό χρόνο για την τοποθέτηση διαφημίσεων σε εφαρμογές. Μία ανεπιθύμητη “παρενέργεια” είναι ότι μεσίτες δεδομένων μπορούν να κατασκοπεύουν τη διαδικασία και να συλλέγουν δεδομένα τοποθεσίας χρηστών.

“Αυτό που βλέπουμε είναι ένας εφιάλτης για την ιδιωτικότητα” λέει ο Krzysztof Franaszek, ιδρυτής της Adalytics προσθέτοντας ότι τα δεδομένα αυτά δείχνουν πόσο εύκολα εταιρείες ή κρατικοί εργολάβοι μπορούν να εκμεταλλευτούν τη διαφημιστική βιομηχανία για να αποκτήσουν τέτοιου είδους δεδομένα.

Η Patternz, μία ισραηλινή εταιρεία παρακολούθησης έχει στο παρελθόν αποκαλυφθεί ότι χρησιμοποιεί το RTB για την άντληση δεδομένων τοποθεσίας. Σε εκπαίδευση βίντεο της Patternz είχαν παρουσιαστεί εφαρμογές όπως 9GAG, Kik, FUTBIN και εφαρμογές παζλ. Αυτές οι εφαρμογές βρίσκονται επίσης στα δεδομένα της Gravy, υποδηλώνοντας ότι η Gravy ή οι πηγές της χρησιμοποιούν τον ίδιο μηχανισμό συλλογής δεδομένων μέσω RTB και όχι μέσω ενσωματωμένου κώδικα στις εφαρμογές.

Ο Franaszek σημειώνει ότι “σημαντικό μέρος της βάσης δεδομένων γεωτοποθεσίας φαίνεται να βασίζεται σε lookup IP address-to-geolocation και όχι σε δεδομένα GNSS/GPS.” Αυτό υποδηλώνει ότι τα δεδομένα συλλέγονται από διευθύνσεις IP και όχι από ενσωματωμένο λογισμικό παρακολούθησης τοποθεσίας στις εφαρμογές.

Αυτό το νέο σύνολο δεδομένων, σύμφωνα με τον Zach Edwards αντικατοπτρίζει μια τεράστια ποικιλία εφαρμογών που συλλέγουν δεδομένα, κάτι που υποδηλώνει ότι πρόκειται για “μαζική άντληση δεδομένων μέσω RTB”. Οι μεγάλες τεχνολογικές εταιρείες, όπως η Google που παρέχουν τα εργαλεία για την προβολή διαφημίσεων ενδέχεται να διαδραματίζουν ρόλο σε αυτή τη διαδικασία.

Τον Δεκέμβριο, η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) απαγόρευσε σε μια άλλη εταιρεία συλλογής δεδομένων τοποθεσίας, την Mobilewalla, να συλλέγει δεδομένα καταναλωτών “από δημοπρασίες διαφημίσεων στο διαδίκτυο για σκοπούς διαφορετικούς από τη συμμετοχή σε αυτές τις δημοπρασίες.” Με άλλα λόγια, η FTC απαγόρευσε στη Mobilewalla τη συμμετοχή στη διαδικασία Real-Time Bidding (RTB) για τη δημιουργία βάσεων δεδομένων σχετικά με τις συσκευές των χρηστών.

Η FTC επίσης κατηγόρησε τις εταιρείες Venntel και Gravy ότι συνέλεξαν δεδομένα χωρίς να λάβουν τη συγκατάθεση των χρηστών. Επιπλέον “διέταξε” την Gravy να διαγράψει ιστορικά δεδομένα τοποθεσίας και απαγόρευσε την πώληση δεδομένων που σχετίζονται με ευαίσθητες περιοχές, όπως κλινικές υγείας και χώρους λατρείας εκτός από “περιορισμένες περιπτώσεις” που αφορούν την εθνική ασφάλεια ή την επιβολή του νόμου.

Η 404 Media έχει επαληθεύσει τα παραβιασμένα δεδομένα της Gravy με διάφορους τρόπους. Ορισμένα αρχεία περιέχουν διαπιστευτήρια για τις βάσεις δεδομένων Snowflake της Gravy. Η 404 Media επιβεβαίωσε ότι οι διευθύνσεις URL που περιλαμβάνονται στα παραβιασμένα αρχεία αντιστοιχούν σε πραγματικές βάσεις δεδομένων Snowflake. Ένα αρχείο με τίτλο “users” περιλαμβάνει μια μεγάλη λίστα εταιρειών. Ορισμένες από αυτές τις εταιρείες αρνήθηκαν οποιαδήποτε σχέση με την Gravy. Ο ασκός του Αιόλου όπως εύλογα κατανοεί ο καθένας έχει ανοίξει και μένει να φανεί ποια θα είναι τα επόμενα επεισόδια πολύ σύντομα.

*Με στοιχεία από το Wired.