Začátkem ledna 2025 došlo k masivnímu úniku lokalizačních dat, která byla shromažďována společností Gravy Analytics. Tato data zahrnovala informace z různých populárních aplikací, včetně aplikací pro fitness, seznamování nebo navigaci, a obsahovala desítky milionů záznamů o poloze uživatelů. Data, která odhalují, kde lidé bydlí, pracují a jak cestují, byla zveřejněna na ruském hackerském fóru.

Podle prvních zpráv hacker získal přístup k serverům Gravy Analytics prostřednictvím zcizeného přístupového klíče k jejich cloudovému prostředí na Amazonu. Tímto způsobem se mu podařilo stáhnout terabajty citlivých dat, jejichž rozsah ještě není zcela znám.

Závažnost úniku

Analýza ukázala, že mezi uniklými daty byly záznamy o poloze zařízení na vysoce citlivých místech, jako je Bílý dům ve Washingtonu, Kreml v Moskvě nebo vojenské základny. Odborníci varují, že taková data mohou být snadno zneužita ke sledování jednotlivců nebo dokonce k identifikaci vojenských operací.

Zvláště ohroženou skupinou jsou uživatelé aplikací v zemích, kde je homosexualita kriminalizována. Únik dat z aplikací, jako je Grindr, by mohl vést k identifikaci a stíhání LGBTQ+ jedinců.

Problém zprostředkovatelů dat

Gravy Analytics, stejně jako mnoho jiných společností, shromažďuje data prostřednictvím tzv. real-time bidding procesu. Ten je součástí online reklamního ekosystému a během mikrosekundových aukcí sdílí informace o zařízení uživatele, včetně jeho polohy, s potenciálními inzerenty. Tato data však mohou být snadno zachycena nebo zneužita třetími stranami, včetně vládních agentur nebo hackerů.

Zvláště alarmující je skutečnost, že mnoho uživatelů nemá tušení, že jejich data jsou takto shromažďována. Aplikace často neupozorňují uživatele, že jejich lokalizační údaje mohou být sdíleny prostřednictvím reklamních sítí.

Zdroj: Shutterstock

Důsledky pro Gravy Analytics

Tento incident znovu upozornil na nedostatečné zabezpečení zprostředkovatelů dat. Společnost Gravy Analytics je navíc pod drobnohledem již delší dobu. Federální obchodní komise (FTC) nedávno zakázala společnosti a její dceřiné firmě Venntel prodávat data bez souhlasu uživatelů. Tento zákaz přišel po odhalení, že firma sledovala miliony lidí na citlivých místech, jako jsou zdravotnická zařízení nebo vojenské základny.

Vzhledem k závažnosti situace lze očekávat, že Gravy Analytics čelí nejen právním důsledkům, ale také ztrátě důvěry veřejnosti. Podobné skandály zároveň zdůrazňují potřebu přísnější regulace v oblasti ochrany dat.