هک کارگزار داده اطلاعات موقعیت مکانی میلیون ها کاربر آیفون را فاش می کند

کارگزار داده Gravy Analytics هک شده است و اطلاعات مکان میلیون‌ها کاربر آیفون و اندروید در خطر است. TechCrunch. شرکت مادر Gravy Analytics، Unacast، در اوایل این ماه، نقض داده را فاش کرد [PDF]، و گفت که محیط ذخیره سازی ابری AWS آن توسط یک فرد غیرمجاز با استفاده از “کلید دسترسی نامناسب” مورد دسترسی قرار گرفته است.

«برخی فایل‌ها» به دست آمد و یافته‌های اولیه نشان می‌دهد که این فایل‌ها «می‌توانند حاوی اطلاعات شخصی باشند» جمع‌آوری‌شده از کاربران سرویس‌های شخص ثالث که از Gravy Analytics استفاده می‌کنند. با توجه به 404 رسانه، هکرها ادعا می کنند که لیست مشتریان و داده های مکان را از تلفن های هوشمند دارند که حرکات دقیق افراد را نشان می دهد و میلیون ها کاربر تحت تأثیر قرار می گیرند. برخی از این داده ها، که در واقع شامل موقعیت تاریخی گوشی های هوشمند است، در انجمن های خصوصی منتشر شده است.

Gravy Analytics می‌گوید که روزانه بیش از یک میلیارد دستگاه را در سراسر جهان ردیابی می‌کند و محققان امنیتی که نمونه‌ای از داده‌های جمع‌آوری‌شده توسط Gravy Analytics را مشاهده کردند، تأیید کردند که این اطلاعات می‌تواند برای ردیابی مکان‌های اخیر افراد بدون نام‌گذاری استفاده شود.

در ماه دسامبر، کمیسیون تجارت فدرال ایالات متحده (FTC) Gravy Analytics و شرکت تابعه آن Venntel را از فروش، افشای یا استفاده از داده های موقعیت مکانی حساس در هر محصول یا خدماتی منع کرد. FTC هشدار داد که این دو شرکت مصرف‌کنندگان را در معرض آسیب‌های حریم خصوصی قرار می‌دهند که می‌تواند شامل افشای اطلاعات بهداشتی، فعالیت‌های سیاسی و اعمال مذهبی باشد و مردم را در معرض خطر انگ، تبعیض، خشونت و سایر آسیب‌ها قرار دهد.

این دستور به Gravy Analytics نیاز داشت که تمام داده‌های موقعیت مکانی تاریخی و هر محصول داده‌ای را که با استفاده از داده‌های جمع‌آوری‌شده از مصرف‌کنندگان ایجاد شده بود حذف کند، اما ظاهراً خیلی دیر شده بود زیرا احتمالاً در آن زمان سیستم‌های شرکت قبلاً نقض شده بودند.

Gravy Analytics داده‌های مکان را از طریق یک فرآیند مناقصه آگهی بی‌درنگ جمع‌آوری می‌کند که به شرکت‌هایی که برای خرید آگهی رقابت می‌کنند اجازه می‌دهد آدرس IP مشتری و داده‌های مکان دقیق‌تر را در صورت فعال شدن ببینند. پایگاه داده Gravy Analytics دارای داده‌های موقعیت مکانی از برنامه‌های آیفون شامل FlightRadar، Grindr و Tinder بود و در حالی که برنامه‌ها ارتباط مستقیمی با کارگزار داده نداشتند، اطلاعات مکان کاربر از طریق تبلیغات آنها جمع‌آوری می‌شد.

خاموش کردن ردیابی برنامه در بخش حریم خصوصی و امنیت برنامه تنظیمات آیفون باعث می‌شود که تبلیغات نتوانند یک شناسه دستگاه منحصربه‌فرد برای پیوند داده‌های موقعیت مکانی به یک دستگاه خاص به دست آورند و جلوگیری از استفاده برنامه‌ها از داده‌های مکان دقیق نیز راهی برای حفظ اطلاعات بیشتر است. حریم خصوصی

باپتیست رابرت، مدیر عامل شرکت امنیتی Predicta Lab، گفت TechCrunch اینکه کاربران آیفونی که ردیابی اپلیکیشن را غیرفعال کرده بودند، داده هایشان به اشتراک گذاشته نمی شد.