Тысячи популярных мобильных приложений на Android и iOS, как сообщается, используются для массового сбора конфиденциальных данных о местоположении. Этот сбор происходит через рекламную экосистему, вероятно, без ведома пользователей и даже самих разработчиков приложений.
Эта информация стала известна благодаря утечке данных, связанной с компанией Gravy Analytics, которая специализируется на сборе данных о местоположении. Дочерняя компания Gravy Analytics — Venntel — ранее продавала глобальные данные о местоположении правоохранительным органам США. Историю опубликовало издание Wired в сотрудничестве с 404 Media.
Согласно утечке, в сеть попали данные множества приложений, включая популярные игры, такие как Candy Crush, приложения для знакомств Tinder и Grindr, а также более чувствительные категории — трекеры беременности и приложения для молитв.
"Впервые у нас есть доказательства того, что один из крупнейших брокеров данных, работающих как с коммерческими, так и с государственными клиентами, получает свои данные из рекламного 'потока ставок' (bid stream), а не через встроенный в приложения код", — отметил Зак Эдвардс, старший аналитик киберугроз компании Silent Push.
Что такое поток ставок и как он угрожает конфиденциальности?
Реализация рекламы в приложениях через поток ставок (real-time bidding, RTB) представляет собой процесс, в рамках которого компании соревнуются за право размещения рекламы. Однако через эту систему брокеры данных могут перехватывать данные о местоположении пользователей.
Эдвардс назвал это "кошмарным сценарием для конфиденциальности". По его словам, "существует компания, которая действует бесконтрольно, используя любые данные, которые ей попадаются".
Масштабы утечки впечатляют: данные Gravy Analytics содержат десятки миллионов координат мобильных устройств из США, России и Европы. Среди затронутых приложений — социальные сети, трекеры активности, почтовые клиенты и даже VPN-приложения, которые пользователи устанавливают для защиты своей конфиденциальности.
Кто стоит за сбором данных?
Пока остается неясным, собирала ли сама Gravy Analytics данные о местоположении или получала их от сторонних источников. Утекший набор данных, датированный 2024 годом, дает редкую возможность заглянуть в непрозрачный мир торговли данными о местоположении.
Gravy Analytics играет ключевую роль в этой системе, собирая данные из различных источников и продавая их через Venntel коммерческим клиентам и государственным агентствам. Ранее было подтверждено, что среди клиентов Venntel — такие ведомства, как ICE, CBP, IRS, FBI и DEA.
Последствия и реакция компаний
Объем собранных данных вызывает серьезные опасения относительно конфиденциальности пользователей и возможного их использования без согласия. Например, журналисты ранее демонстрировали, как инструмент Locate X от Venntel позволяет отслеживать посетителей клиник, предоставляющих услуги абортов.
Большинство разработчиков приложений, упомянутых в утечке, отказались от комментариев. Однако представители Flightradar24 заявили, что никогда не сотрудничали с Gravy, несмотря на использование рекламы в приложении. Tinder также отрицал какую-либо связь с Gravy Analytics, а Muslim Pro подчеркнул, что не предоставляет рекламным сетям разрешения на сбор данных о местоположении пользователей.
Что дальше?
Обнаружение того, что данные поступают из системы потоков ставок, меняет подход к ответственности, направляя ее на недобросовестных участников рекламной индустрии. Также это свидетельствует о том, что многие разработчики приложений могут не подозревать, что данные их пользователей используются в таких масштабах.
Федеральная торговая комиссия (FTC) уже начала принимать меры против подобных практик. В декабре агентство запретило компании Mobilewalla собирать данные из онлайн-аукционов рекламы не по назначению. Gravy Analytics и Venntel также были обязаны удалить архивные данные и прекратить продажу информации, связанной с чувствительными зонами, такими как медицинские учреждения и религиозные объекты.
Этот случай подчеркивает важность контроля над рекламной экосистемой и усиления защиты данных пользователей, чтобы предотвратить их несанкционированное использование.
