Hack de corredor de datos expone información de ubicación de millones de usuarios de iPhone

El corredor de datos Gravy Analytics ha sido pirateado y la información de ubicación de millones de usuarios de iPhone y Android está en riesgo, informa TechCrunch. La empresa matriz de Gravy Analytics, Unacast, reveló la violación de datos a principios de este mes. [PDF]y dijo que una persona no autorizada había accedido a su entorno de almacenamiento en la nube de AWS utilizando una «clave de acceso malversada».

Se obtuvieron «algunos archivos» y los hallazgos preliminares sugieren que esos archivos «podrían contener datos personales» recopilados de usuarios de servicios de terceros que utilizan Gravy Analytics. De acuerdo a 404Medioslos piratas informáticos afirman tener listas de clientes y datos de ubicación de teléfonos inteligentes que muestran los movimientos precisos de las personas, lo que afecta a millones de usuarios. Algunos de esos datos, que de hecho incluyen la ubicación histórica de los teléfonos inteligentes, se han publicado en foros privados.

Gravy Analytics dice que rastrea más de mil millones de dispositivos en todo el mundo diariamente, y los investigadores de seguridad que vieron una muestra de los datos recopilados por Gravy Analytics confirmaron que la información se puede utilizar para rastrear las ubicaciones recientes de una persona, sin anonimización.

En diciembre, la Comisión Federal de Comercio de los Estados Unidos (FTC) prohibido Gravy Analytics y su subsidiaria Venntel vendan, divulguen o utilicen datos de ubicación confidenciales en cualquier producto o servicio. La FTC advirtió que las dos empresas expusieron a los consumidores a daños a la privacidad que podrían incluir la divulgación de información de salud, actividad política y prácticas religiosas, y pusieron a las personas en riesgo de estigma, discriminación, violencia y otros daños.

La orden requería que Gravy Analytics eliminara todos los datos históricos de ubicación y cualquier producto de datos desarrollado utilizando datos recopilados de los consumidores, pero aparentemente ya era demasiado tarde porque los sistemas de la empresa probablemente ya habían sido violados en ese momento.

Gravy Analytics recopila datos de ubicación a través de un proceso de oferta de anuncios en tiempo real que permite a las empresas que compiten para comprar un anuncio ver la dirección IP del cliente y datos de ubicación más precisos si están habilitados. La base de datos de Gravy Analytics tenía datos de ubicación de aplicaciones de ‌iPhone‌ que incluyen FlightRadar, Grindr y Tinder, y aunque las aplicaciones no tenían una relación directa con el corredor de datos, la información de ubicación del usuario se recopiló a través de sus anuncios.

Desactivar el seguimiento de aplicaciones en la sección Privacidad y Seguridad de la aplicación Configuración del ‌iPhone‌ evita que los anuncios puedan obtener un identificador de dispositivo único para vincular datos de ubicación a un dispositivo específico, y evitar que las aplicaciones utilicen datos de ubicación precisos también es una forma de preservar más privacidad.

Baptiste Robert, director ejecutivo de la empresa de seguridad Predicta Lab, dijo TechCrunch que los usuarios de ‌iPhone‌ que tenían el seguimiento de aplicaciones deshabilitado no compartían sus datos.