数据经纪商 Gravy Analytics 遭到黑客攻击,数百万 iPhone 和 Android 用户的位置信息因此面临风险。 Gravy Analytics 的母公司 Unacast 在本月早些时候披露了数据泄露事件[PDF],并表示其 AWS 云存储环境已被未经授权的人员使用"盗用的访问密钥"访问。
初步调查结果显示,这些文件 “可能包含 ”从使用 Gravy Analytics 的第三方服务的用户那里收集的 “个人数据”。据 404Media 报道,黑客声称他们掌握了客户名单和智能手机的位置数据,这些数据可以显示人们的精确移动,数百万用户受到影响。 其中一些数据(确实包括智能手机的历史位置)已在私人论坛上公布。
Gravy Analytics 表示,该公司每天跟踪全球超过 10 亿台设备,而看过 Gravy Analytics 收集的数据样本的安全研究人员证实,这些信息可用于跟踪一个人最近的位置,而且没有进行匿名处理。
12 月,美国联邦贸易委员会(FTC)禁止 Gravy Analytics 及其子公司 Venntel 在任何产品或服务中销售、披露或使用敏感位置数据。 FTC 警告称,这两家公司使消费者的隐私受到损害,其中可能包括披露健康信息、政治活动和宗教习俗,并使人们面临耻辱、歧视、暴力和其他伤害的风险。
该命令要求 Gravy Analytics 公司删除所有历史位置数据以及使用从消费者处收集的数据开发的任何数据产品,但显然为时已晚,因为该公司的系统当时很可能已经被攻破。
Gravy Analytics 通过实时广告竞价程序收集位置数据,该程序允许竞相购买广告的公司查看客户 IP 地址和更精确的位置数据(如果启用)。 Gravy Analytics 的数据库中有来自 FlightRadar、Grindr 和 Tinder 等 iPhone 应用程序的位置数据,虽然这些应用程序与数据经纪商没有直接关系,但用户的位置信息是通过它们的广告收集的。
在 iPhone 的"设置"应用程序的"隐私和安全"部分关闭应用程序跟踪功能,广告就无法获得唯一的设备标识符,从而将位置数据与特定设备联系起来,而阻止应用程序使用精确的位置数据也是保护更多隐私的一种方法。
安全公司 Predicta Lab 首席执行官巴普蒂斯特-罗伯特(Baptiste Robert)表示,禁用应用程序跟踪功能的 iPhone 用户不会被共享数据。
