Ein Hack und eine Datenpanne beim Standortdatenbroker Gravy Analytics bedrohen die Privatsphäre von Millionen Menschen auf der ganzen Welt, deren Smartphone-Apps unabsichtlich ihre vom Datenriesen gesammelten Standortdaten offengelegt haben.
Das volle Ausmaß des Datenverstoßes ist noch nicht bekannt, aber der mutmaßliche Hacker hat bereits eine große Auswahl an Standortdaten von Top-Telefon-Apps für Verbraucher veröffentlicht – darunter Fitness- und Gesundheits-, Dating- und ÖPNV-Apps sowie beliebte Spiele. Bei den Daten handelt es sich um zig Millionen Standortdatenpunkte darüber, wo sich Menschen aufgehalten haben, gelebt, gearbeitet und hin und her gereist sind.
Die Nachricht über den Verstoß wurde letztes Wochenende bekannt, nachdem ein Hacker Screenshots von Standortdaten in einem nicht zugänglichen russischsprachigen Cyberkriminalitätsforum gepostet hatte und behauptete, er habe mehrere Terabyte an Verbraucherdaten von Gravy Analytics gestohlen. Unabhängige Nachrichtenagentur 404 Medien berichtete zunächst über den Forumsbeitrag, in dem der offensichtliche Verstoß behauptet wurde, der angeblich die historischen Standortdaten von Millionen von Smartphones umfasste.
Der norwegische Sender NRK berichtete am 11. Januar, dass Unacast, die Muttergesellschaft von Gravy Analytics, den Verstoß offengelegt mit den Datenschutzbehörden des Landes gemäß den gesetzlichen Bestimmungen.
Unacast, 2004 in Norwegen gegründet, fusionierte mit Gravy Analytics im Jahr 2023 um das zu erstellen, was es damals als „eine der größten“ Sammlungen von Standortdaten von Verbrauchern bezeichnete. Gravy Analytics gibt an, täglich mehr als eine Milliarde Geräte auf der ganzen Welt zu verfolgen.
In seine Datenschutzverletzungsmitteilung Laut einer bei Norwegen eingereichten Anfrage habe Unacast am 4. Januar festgestellt, dass ein Hacker mithilfe eines „entwendeten Schlüssels“ Dateien aus seiner Amazon-Cloud-Umgebung erworben habe. Unacast sagte, es sei durch die Kommunikation mit dem Hacker auf den Verstoß aufmerksam geworden, das Unternehmen gab jedoch keine weiteren Einzelheiten bekannt. Das Unternehmen sagte, sein Betrieb sei nach dem Verstoß kurzzeitig eingestellt worden.
Unacast sagte in der Mitteilung, dass es auch die britischen Datenschutzbehörden über den Verstoß informiert habe. Ein Sprecher des britischen Information Commissioner’s Office äußerte sich am Montag nicht sofort, als er von Tech erreicht wurde.
Die Führungskräfte von Unacast, Jeff White und Thomas Walle, antworteten diese Woche nicht auf mehrere E-Mails von Tech mit der Bitte um Stellungnahme. In einer nicht zugeordneten Aussage von einem generischen Gravy Analytics-E-Mail-Konto an Tech gesendet Am Sonntag räumte Unacast den Verstoß ein und sagte, dass die „Untersuchung noch andauere“.
Die Website von Gravy Analytics war zum Zeitpunkt des Schreibens noch nicht erreichbar. Mehrere andere mit Gravy Analytics verbundene Domains schienen laut Überprüfungen von Tech in der vergangenen Woche ebenfalls nicht funktionsfähig zu sein.
Bisher sind 30 Millionen Standortdatenpunkte durchgesickert
Befürworter des Datenschutzes warnen seit langem vor den Risiken, die Datenbroker für die Privatsphäre des Einzelnen und die nationale Sicherheit darstellen. Forscher mit Zugriff auf die vom Hacker veröffentlichten Stichproben der Standortdaten von Gravy Analytics sagen, dass die Informationen genutzt werden können, um den aktuellen Aufenthaltsort von Personen umfassend zu verfolgen.
Baptiste Robert, der CEO des digitalen Sicherheitsunternehmens Predicta Lab, der eine Kopie des durchgesickerten Datensatzes erhalten hat, sagte in einem Thread auf X dass der Datensatz mehr als 30 Millionen Standortdatenpunkte enthielt. Dazu gehörten Geräte, die sich im Weißen Haus in Washington DC befanden; der Kreml in Moskau; Vatikanstadt; und Militärstützpunkte auf der ganzen Welt. Eine der von Robert geteilten Karten zeigte die Standortdaten von Tinder-Nutzern im gesamten Vereinigten Königreich. In ein weiterer BeitragRobert zeigte, dass es möglich war, Personen zu identifizieren, die wahrscheinlich als Militärangehörige dienten, indem die gestohlenen Standortdaten mit den Standorten bekannter russischer Militäreinrichtungen überschnitten wurden.
Robert warnte, dass die Daten auch eine einfache Deanonymisierung gewöhnlicher Personen ermöglichen; In einem Beispiel verfolgten die Daten die Reise einer Person von New York zu ihrem Zuhause in Tennessee. Forbes über die Gefahren berichtet dass der Datensatz über LGBTQ+-Benutzer verfügt, deren von bestimmten Apps abgeleitete Standortdaten sie in Ländern identifizieren könnten, die Homosexualität kriminalisieren.
Die Nachricht über den Verstoß kommt Wochen, nachdem die Federal Trade Commission Gravy Analytics und seiner Tochtergesellschaft Venntel, die Standortdaten an Regierungsbehörden und Strafverfolgungsbehörden liefert, verboten hat, Standortdaten von Amerikanern ohne Zustimmung der Verbraucher zu sammeln und zu verkaufen. Die FTC beschuldigte das Unternehmen, Millionen von Menschen unrechtmäßig zu sensiblen Orten wie Gesundheitskliniken und Militärstützpunkten verfolgt zu haben.
Von Werbenetzwerken abgerufene Standortdaten
Gravy Analytics bezieht einen Großteil seiner Standortdaten von ein Prozess, der als Echtzeitgebot bezeichnet wirdein wichtiger Teil der Online-Werbebranche, der während einer Millisekunden-Auktion bestimmt, welcher Werbetreibende seine Anzeige auf Ihrem Gerät schalten darf.
Während dieser nahezu sofortigen Auktion können alle bietenden Werbetreibenden einige Informationen über Ihr Gerät sehen, z. B. den Hersteller und Modelltyp, seine IP-Adressen (die verwendet werden können, um auf den ungefähren Standort einer Person zu schließen) und in einigen Fällen mehr genaue Standortdaten, sofern diese vom App-Benutzer bereitgestellt werden, sowie andere technische Faktoren, die dabei helfen, zu bestimmen, welche Anzeige einem Benutzer angezeigt wird.
Aber als Nebenprodukt dieses Prozesses kann jeder Werbetreibende, der Gebote abgibt – oder jeder, der diese Auktionen genau überwacht – auch auf diesen Schatz an sogenannten „Bidstream“-Daten zugreifen, die Geräteinformationen enthalten. Datenmakler, darunter solche, die Daten an Regierungen verkaufen, können die gesammelten Informationen mit anderen Daten über diese Personen aus anderen Quellen kombinieren, um ein detailliertes Bild vom Leben und Aufenthaltsort einer Person zu zeichnen.
Analysen der Standortdaten durch Sicherheitsforscher, einschließlich Robert von Predicta Laboffenbaren Tausende von werbeanzeigenden Apps, die, oft unwissentlich, Bidstream-Daten mit Datenbrokern geteilt haben.
Der Datensatz enthält Daten, die von beliebten Android- und iPhone-Apps stammen, darunter FlightRadar, Grindr und Tinder – die alle jede direkte geschäftliche Verbindung zu Gravy Analytics bestritten, aber die Anzeige von Werbung bestätigt haben. Aufgrund der Art und Weise, wie die Werbebranche funktioniert, ist es jedoch möglich, dass Adserving-Apps die Daten ihrer Nutzer sammeln, ohne dass sie dies ausdrücklich wissen oder damit einverstanden sind.
Als notiert von 404 MediaEs ist unklar, wie Gravy Analytics seine riesigen Bestände an Standortdaten gewonnen hat, etwa ob das Unternehmen die Daten selbst oder von anderen Datenbrokern gesammelt hat. 404 Media stellte fest, dass große Mengen der Standortdaten aus der IP-Adresse des Gerätebesitzers abgeleitet wurden, die geolokalisiert wird, um ihren realen Standort anzunähern, anstatt sich darauf zu verlassen, dass der Gerätebesitzer der App Zugriff auf die genauen GPS-Koordinaten des Geräts gewährt.
Was Sie tun können, um Werbeüberwachung zu verhindern
Pro Gruppe für digitale Rechte Electronic Frontier FoundationAnzeigenauktionen finden auf fast jeder Website statt, Sie können jedoch Maßnahmen ergreifen, um sich vor Werbeüberwachung zu schützen.
Die Verwendung eines Werbeblockers – oder eines Inhaltsblockers auf Mobilebene – kann ein wirksamer Schutz gegen Werbeüberwachung sein, indem er das Laden des Werbecodes auf Websites im Browser des Benutzers von vornherein blockiert.
Android-Geräte und iPhones verfügen außerdem über Funktionen auf Geräteebene, die es Werbetreibenden erschweren, Sie zwischen Apps oder im Internet zu verfolgen und Ihre pseudonymen Gerätedaten mit Ihrer realen Identität zu verknüpfen. Die EFF hat auch eine guter Führer erfahren Sie, wie Sie diese Geräteeinstellungen überprüfen.
Wenn Sie ein Apple-Gerät haben, können Sie in Ihren Einstellungen und zu den Optionen „Tracking“ gehen Deaktivieren Sie die Einstellung für die Verfolgung von App-Anfragen. Dadurch wird die eindeutige Kennung Ihres Geräts auf Null gesetzt, sodass es nicht mehr von anderen Geräten zu unterscheiden ist.
„Wenn Sie das App-Tracking deaktivieren, werden Ihre Daten nicht weitergegeben“, sagte Robert gegenüber Tech.
Android-Benutzer sollten in den Einstellungen ihres Telefons zum Abschnitt „Datenschutz“ und dann zu „Werbung“ gehen. Wenn die Option verfügbar ist, können Sie Ihre Werbe-ID löschen, um zu verhindern, dass Apps auf Ihrem Telefon in Zukunft auf die eindeutige Kennung Ihres Geräts zugreifen. Wer diese Einstellung nicht hat, sollte seine Werbe-IDs dennoch regelmäßig zurücksetzen.
Wenn Sie verhindern, dass Apps auf Ihren genauen Standort zugreifen, wenn dies nicht erforderlich ist, können Sie auch Ihren Datenbedarf reduzieren.