Beberapa aplikasi paling populer di dunia kemungkinan besar dikooptasi oleh anggota industri periklanan nakal untuk mengambil data lokasi sensitif dalam skala besar, dan data tersebut berakhir di perusahaan data lokasi yang anak perusahaannya sebelumnya telah menjual data lokasi global ke AS. penegakan hukum.
Ribuan aplikasi, termasuk dalam file yang diretas dari perusahaan data lokasi Gravy Analytics, sertakan semuanya mulai dari game sejenisnya permen naksir dan aplikasi kencan seperti Tinder hingga pelacakan kehamilan dan aplikasi doa keagamaan di Android dan iOS. Karena sebagian besar pengumpulan data terjadi melalui ekosistem periklanan—bukan kode yang dikembangkan oleh pembuat aplikasi itu sendiri—pengumpulan data ini kemungkinan besar terjadi tanpa sepengetahuan pengguna atau bahkan pengembang aplikasi.
“Untuk pertama kalinya secara publik, kami tampaknya memiliki bukti bahwa salah satu pialang data terbesar yang menjual kepada klien komersial dan pemerintah tampaknya memperoleh data mereka dari ‘aliran penawaran’ iklan online” dan bukan dari kode yang tertanam dalam aplikasi itu sendiri. , Zach Edwards, analis ancaman senior di perusahaan keamanan siber Silent Push dan yang telah mengikuti industri data lokasi dengan cermat, mengatakan kepada 404 Media setelah meninjau beberapa data.
Data ini memberikan gambaran sekilas tentang dunia penawaran waktu nyata (RTB). Secara historis, perusahaan data lokasi pengembang aplikasi berbayar untuk menyertakan kumpulan kode yang mengumpulkan data lokasi penggunanya. Banyak perusahaan yang beralih ke hal ini mencari informasi lokasi melalui ekosistem periklanantempat perusahaan mengajukan tawaran untuk menempatkan iklan di dalam aplikasi. Namun efek sampingnya adalah perantara data dapat mendengarkan proses tersebut dan mengambil lokasi ponsel orang-orang.
“Ini adalah skenario mimpi buruk bagi privasi, karena pelanggaran data ini tidak hanya berisi data yang diambil dari sistem RTB, namun ada beberapa perusahaan di luar sana yang bertindak seperti seekor musang global, melakukan apa pun yang diinginkannya terhadap setiap bagian data yang masuk. , ”kata Edwards.
Termasuk dalam data Gravy yang diretas adalah puluhan juta koordinat ponsel perangkat di AS, Rusia, dan Eropa. Beberapa file tersebut juga mereferensikan aplikasi di samping setiap data lokasi. 404 Media mengekstraksi nama aplikasi dan membuat daftar aplikasi yang disebutkan.
Daftar tersebut mencakup situs kencan Tinder dan Grindr; permainan besar seperti permen naksir, Lari Kuil, Peselancar Kereta Bawah TanahDan Harry Potter: Teka-teki & Mantra; aplikasi transportasi Moovit; Kalender & Pelacak Menstruasi Saya, aplikasi pelacak menstruasi dengan lebih dari 10 juta unduhan; aplikasi kebugaran populer MyFitness Pro; jejaring sosial Tumblr; klien email Yahoo; aplikasi kantor Microsoft 365; dan pelacak penerbangan Flightradar24. Daftar tersebut juga menyebutkan beberapa aplikasi yang berfokus pada agama seperti aplikasi doa Muslim dan Alkitab Kristen, berbagai pelacak kehamilan, dan banyak aplikasi VPN, yang ironisnya mungkin diunduh oleh beberapa pengguna dalam upaya melindungi privasi mereka.
Daftar lengkapnya dapat ditemukan Di Sini. Beberapa peneliti keamanan telah menerbitkan daftar lainnya aplikasi yang disertakan dalam data, dengan berbagai ukuran. Versi kami relatif lebih besar karena mencakup aplikasi Android dan iOS, dan kami memutuskan untuk menyimpan duplikat aplikasi yang sama yang memiliki sedikit variasi nama untuk memudahkan pembaca mencari aplikasi yang telah mereka instal.
Meskipun kumpulan data ini tampaknya berasal dari peretasan Gravy, tidak jelas apakah Gravy mengumpulkan data lokasi ini sendiri atau mengambil sumbernya dari perusahaan lain, atau perusahaan lokasi mana yang pada akhirnya memilikinya atau diberi lisensi untuk menggunakannya.
