Sekmadienį kibernetinis įsilaužėlis pareiškė pavogęs terabaitus duomenų iš „Gravy Analytics“ – vienos didžiausių pasaulyje vietos duomenų, surinktų iš plačiai naudojamų mobiliųjų programėlių, pvz., žaidimų ir pažinčių programėlių, tarpininkių.
Populiariame kibernetinių nusikaltėlių forume kaip tariamą įrodymą paskelbęs kiek daugiau nei gigabaitą duomenų, įsilaužėlis pagrasino pasidalyti daugiau, jei bendrovė nesureaguos.
Neilgai trukus įsilaužėlio įrašas buvo pašalintas – tai rodo, kad „Gravy“ bendradarbiavo. Jei įsilaužėlio teiginiai yra tikri, tai reikštų, kad pažeidimas buvo katastrofiškas ir atskleidė milijonų žmonių buvimo vietos informaciją.
„Labai neramu dėl šio pažeidimo masto. Išnagrinėjus atskleistus duomenis, pagal laiko žymas, IP adresus ir naršyklės naudotojo agentus galima atlikti koreliacijas ir susieti geografines vietoves su asmenimis“ – sakė įsilaužėlio paskelbtus duomenis peržiūrėjęs kibernetinio saugumo tyrėjas.
Tačiau pridūrė, kad įsilaužėlio pranešimo dingimas leidžia manyti, jog jie susitarė su kompanija, kad būtų išvengta tolesnio duomenų atskleidimo. Remiantis dabar ištrintų duomenų nuotrauka, vienas iš „Gravy“ klientų yra LGBTQ bendruomenei skirta programėlė.
Paaiškėjo, kad duomenyse nurodytos tikslios milijonų programėlės naudotojų, įskaitant net 200, įsikūrusių JAE, kur homoseksualumas yra neteisėtas ir baudžiamas laisvės atėmimu, buvimo vietos.
Bendrovė, kuri po praėjusių metų susijungimo dabar žinoma kaip „Unacast“, į prašymus pakomentuoti neatsakė. „Gravy“ teikia buvimo vietos duomenų ir analizės paslaugas įvairiems klientams, nesvarbu, ar tai būtų mažmenininkai, bandantys nustatyti lankytojų srautus, ar teisėsaugos institucijos, siekiančios nustatyti asmenų ar žmonių grupių buvimo vietą.
Tyrėjai įspėjo, kad nors įsilaužėlis paviešino dalį visų duomenų, kuriuos teigė gavęs, vis dar neaišku, kiek teisėtos „Gravy“ informacijos jis turėjo. Įsilaužėlis neatskleidė, kaip gavo duomenis. Tuo tarpu „Gravy“ svetainė šiuo metu neveikia, kaip ir jos taikomųjų programų sąsaja (API) – programinė įranga, leidžianti klientams prisijungti prie jos duomenų.
Kita pažinčių programėlė „Grindr“, skirta LGBTQ+ bendruomenei, nutekintuose duomenyse taip pat buvo įvardyta kaip partnerių programėlė. Analitikas sakė, kad „Grindr“ naudotojų koordinačių įrašų buvo tūkstančiai, visi jie buvo šalyse, kuriose homoseksualumas yra legalus, pavyzdžiui, Jungtinėje Karalystėje ir Argentinoje.
O remiantis kibernetinio saugumo bendrovės įrašu, atrodo, kad nutekėjusioje ekrano nuotraukoje matyti „Grindr“ buvimo vietos informacija. Tačiau „Grindr“ sakė, kad niekada neturėjo verslo santykių su „Gravy“. Įmonė prieš kelerius metus nustojo dalytis buvimo vietos duomenimis su visais partneriais.
Vartotojų buvimo vietos į „Gravy“ duomenų bazes galėjo patekti kitais būdais. Tokios programėlės kaip „Grindr“ gali dalytis naudotojų duomenimis su duomenų kaupėjais ar tarpininkais, kurie savo ruožtu dalijasi jais su tokiomis bendrovėmis kaip „Gravy Analytics“. Visgi, „Grindr“ teigė, kad nesidalija duomenimis su duomenų kaupėjais ar tarpininkais.
Buvimo vietos duomenų bendrovės, tokios kaip „Gravy“, taip pat gali pirkti duomenis iš kitų brokerių, kurie renka informaciją apie buvimo vietą iš įvairių šaltinių šioje pramonės šakoje, kurią privatumo gynėjai smerkia kaip painų tinklą subjektų, prekiaujančių privačia žmonių informacija be jokios priežiūros.
Šiuo metu Jungtinėje Karalystėje „Grindr“ iškelta grupinio ieškinio byla, kurioje teigiama, kad bendrovė bent iki 2020 metų įvairiems rinkodaros partneriams pardavinėjo naudotojų buvimo vietos duomenis ir ŽIV statusą. „Grindr“ vyriausiasis privatumo pareigūnas Kelly Miranda patvirtino, kad bendrovė anksčiau iki 2020 metų pradžios į reklamos užklausas įtraukdavo informaciją apie buvimo vietą.
Dėl kitų Jungtinės Karalystės byloje pateiktų teiginių sakė, kad jie grindžiami iš esmės neteisingu prieš penkerius metus, iki 2020 metų pradžios, taikytos praktikos apibūdinimu, niekada nepardavinėjo ir nesidalijo naudotojų pateikta sveikatos informacija, įskaitant ŽIV statusą, reklamos tikslais.
Duomenys apie buvimo vietą yra prieštaringai vertinamas verslas. Praėjusį mėnesį Federalinė prekybos komisija paskelbė planuojanti imtis veiksmų prieš „Grindr“ ir jos dukterinę įmonę „Venntel“, dėl neteisėto vartotojų slaptų buvimo vietos duomenų sekimo ir pardavimo, įskaitant duomenų apie vartotojų apsilankymus su sveikata susijusiose vietose ir maldos vietose pardavimą.
FTC pasiūlė uždrausti abiem įmonėms parduoti ar dalytis buvimo vietos duomenimis, išskyrus ribotas aplinkybes, susijusias su nacionaliniu saugumu ar teisėsauga. Nors įsilaužėlis, teigiantis, kad turi prieigą prie „Gravy“ informacijos, galėjo atskleisti didžiulę neskelbtinų duomenų dalį, ji greičiausiai jau buvo parduodama.
Nors tai kelia nerimą kaip galimas visiškas pavogtų duomenų atskleidimas, vis galvojama apie tai, kad kai kurie grėsmių veikėjai, įskaitant nacionalinių valstybių remiamus grėsmių veikėjus, galėjo gauti tokius duomenis teisėtai įsigiję prieigą prie „Gravy Analytics“ duomenų.
