Deze week heeft een hack cyberbeveiliging weer in de schijnwerpers gezet, waardoor iets groots aan het licht is gekomen. De aanval was echter niet gericht op gebruikers, maar eerder op een ‘data-scraper’-bedrijf dat de locatie van duizenden gebruikers verzamelt en deze mogelijk aan de hoogste bieder verkoopt. Het meest zorgwekkende is dat het bedrijf de locatiegegevens van smartphone-apps haalt zonder dat de ontwikkelaars zich daarvan bewust zijn.
Gravy Analytics verzamelt locatiegegevens van miljoenen smartphones via populaire apps
Een hackergroep heeft inbreuk gemaakt op Gravy Analytics, een bedrijf dat zich richt op het verzamelen van locatiegegevens. In het verleden is Gravy betrapt op het verkopen van informatie aan overheidsorganisaties. Het bedrijf heeft de gegevens niet verzameld door apps te trojaniseren of de code te hacken. Het bedrijf heeft ervoor gekozen om het reclame-ecosysteem dat zo gangbaar is in smartphone-apps te exploiteren. Meer specifiek profiteren ze van het real-time bidding (RTB)-systeem dat vandaag de dag het segment domineert. Dit betekent ook dat app-ontwikkelaars geen inspraak hebben in het proces. De overgrote meerderheid was zich er dus niet eens van bewust dat zoiets als dit gebeurde.
RTB is een systeem waarbij bedrijven bieden om hun advertenties zichtbaar te maken in apps. Dit betekent ook dat datamakelaars het proces kunnen ‘bekijken’ en de locatiegegevens van smartphonegebruikers kunnen bewaren als ze dat willen. Het rapport van 404 Media en Wired zegt dat miljoenen gebruikers in de VS, Rusland en Europa getroffen zijn.
Gestolen locatiegegevens dateren uit 2024, suggereren aanwijzingen
Het is nog niet duidelijk of Gravy de belangrijkste speler is bij het stelen van gebruikersgegevens. Het is ook mogelijk dat ze de gegevens van andere bedrijven krijgen. Met het RTB-systeem kunnen kwaadwillende bedrijven locatiegegevens verkrijgen door zich voor te doen als potentiële adverteerders. Ze kunnen beginnen met het verzamelen van gegevens door simpelweg toegang te krijgen tot biedplatforms of door andere advertentietechnologiebedrijven over te nemen. Gravy heeft een dochteronderneming genaamd Venntel. Laatstgenoemde is het bedrijf dat rechtstreeks zaken doet met Amerikaanse overheidsinstanties voor de verkoop van locatiegegevens. Ze verkopen de gegevens ook aan meer traditionele commerciële bedrijven.
Sommige aanwijzingen suggereren dat de ontdekte gegevens van vorig jaar zijn. Call of Duty: Mobile is een van de getroffen apps en uit de hack bleek dat Gravy gebruikersgegevens verzamelde uit de ‘Seizoen 5’-update. Die update kwam in mei 2024 uit. Bovendien worden de gegevens niet verkregen via de GPS van de smartphones, maar via hun IP-adres. Hierdoor bleven de praktijken van het bedrijf nog verder onopgemerkt.
Apps die getroffen zijn door de praktijken van Gravy
Er is een enorme lijst van ongeveer 12.000 apps die getroffen zijn door het schrapen van locatiegegevens door Gravy. Hoewel het onmogelijk is om ze allemaal op te sommen, zijn er enkele die opvallen door hun populariteit of niche. De lijst bevat onder meer Tinder, Grindr, My Period Calendar & Tracker, MyFitnessPal, Tumblr, Yahoo Mail, Microsoft 365, Flightradar24, Moovit, Muslim Pro en Christian Bible. Populaire games zoals Candy Crush, Temple Run, Subway Surfers en Harry Potter: Puzzles & Spells werden ook getroffen. De volledige lijst bevat ook veel VPN-apps en zwangerschapstrackers.
De meeste getroffen app-ontwikkelaars hebben geen commentaar gegeven op de bevindingen. De ontwikkelaars van Flightradar24, Tinder, Grindr en Muslim Pro beweren echter niets met Gravy te maken te hebben of zelfs nog nooit van het bedrijf te hebben gehoord. Het probleem treft apps op zowel Android- als iOS-apparaten. Dat gezegd hebbende, hebben noch Google noch Apple hierover nog een verklaring afgegeven.
