Um vazamento de dados na Gravy Analytics, uma das maiores corretoras de dados de localização do mundo, está expondo a privacidade de milhões de pessoas a riscos significativos.
Dados coletados por aplicativos de smartphones foram comprometidos, estando agora nas mãos de hackers e revelando informações sensíveis sobre os locais de residência, trabalho e viagem dos usuários.
O episódio realça os perigos inerentes à prática de coletar e armazenar vastas quantidades de dados de localização pelas corretoras.
Especialistas que analisaram os dados comprometidos alertam para a possibilidade de rastreamento minucioso dos movimentos recentes dos indivíduos afetados.
Baptiste Robert, CEO da Predicta Lab, demonstrou como a exposição desses dados possibilita a identificação de pessoas específicas, incluindo militares em bases russas ou usuários de aplicativos em regiões onde a homossexualidade é criminalizada.
Essas informações são susceptíveis de serem utilizadas para propósitos mal-intencionados, colocando os indivíduos visados em risco de segurança e discriminação.
A Gravy Analytics adquire a maior parte desses dados através de um processo denominado "real-time bidding" (RTB), amplamente utilizado na publicidade online.
Durante esses leilões, informações sobre os dispositivos dos usuários, como a localização aproximada e modelos de dispositivo, são compartilhadas com anunciantes.
As corretoras de dados então agregam essas informações a outros dados para criar perfis detalhados dos usuários.
Aplicativos populares, tais como FlightRadar, Grindr e Tinder, negaram ter relações diretas com a Gravy Analytics, embora tenham reconhecido que seus serviços contêm anúncios.
Isso evidencia que aplicativos, mesmo aqueles que não compartilham dados diretamente com corretoras, podem acabar tendo informações dos usuários capturadas indiretamente.
O vazamento ocorreu poucas semanas após a Federal Trade Commission dos EUA (FTC) proibir a Gravy Analytics e a sua subsidiária Venntel de coletar e vender dados de localização de cidadãos americanos sem o devido consentimento.
A FTC alega que a empresa monitorava indivíduos em locais sensíveis, como clínicas de saúde e bases militares.
Embora o alcance total do incidente ainda esteja sob investigação, o hacker responsável já divulgou uma porção significativa dos dados.
Essa amostra inclui informações de localização provenientes de aplicativos focados em fitness, saúde, namoro, transporte e jogos;
Estima-se que a amostra divulgue mais de 30 milhões de pontos de dados de localização, abrangendo dispositivos localizados em áreas sensíveis como a Casa Branca, o Kremlin, a Cidade do Vaticano e bases militares ao redor do mundo;
O vazamento foi anunciado em um fórum de cibercrime de acesso restrito, com o hacker alegando ter extraído vários terabytes de dados;
A empresa norueguesa Unacast, que se uniu à Gravy Analytics em 2023, comunicou as autoridades de proteção de dados na Noruega e no Reino Unido assim que o vazamento foi descoberto, no dia 4 de janeiro;
A falha de segurança foi atribuída ao uso impróprio de uma chave de acesso ao ambiente de nuvem da Amazon.
Instruções para proteção incluem:
- Utilizar bloqueadores de anúncios para prevenir a carga de scripts de publicidade em websites e aplicativos;
- Ajustar as configurações de privacidade do dispositivo para limitar o rastreamento e o compartilhamento de dados;
- Restringir o acesso à localização precisa, concedendo permissões apenas quando estritamente necessário.
O vazamento de dados da Gravy Analytics serve como um alerta severo aos riscos ligados à coleta massiva de informações pessoais e reitera a importância de se adotar medidas proativas para proteger a privacidade em um contexto de crescente digitalização.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...