数据经纪公司Gravy Analytics遭到黑客攻击,数百万名iPhone和Android用户的位置信息面临泄露风险。根据报告,Gravy Analytics的母公司Unacast本月早些时候披露了这一数据泄露事件,并表示其AWS云存储环境被一名未授权人士通过“盗用的访问密钥”访问。
据称,“一些文件”已经被获取,初步调查结果显示这些文件“可能包含用户的个人数据”,这些数据来自使用Gravy Analytics的第三方服务。黑客声称拥有客户名单和来自智能手机的位置信息,这些信息显示了用户的精确移动轨迹,涉及数百万用户。其中一些数据,包括智能手机的历史位置,已在私人论坛上发布。
Gravy Analytics表示,它每天跟踪全球超过十亿设备。安全研究人员查看了Gravy Analytics收集的数据样本,证实这些信息可以用来追踪一个人的近期位置,且没有任何匿名化处理。
去年12月,美国联邦贸易委员会(FTC)禁止Gravy Analytics及其子公司Venntel出售、披露或在任何产品或服务中使用敏感的位置信息。FTC警告说,这两家公司使消费者面临隐私风险,包括健康信息、政治活动和宗教信仰的披露,并让人们面临污名化、歧视、暴力和其他伤害的风险。
该命令要求Gravy Analytics删除所有历史位置信息和任何使用从消费者那里收集的数据开发的数据产品,但显然为时已晚,因为在此时公司的系统可能已经被入侵。
Gravy Analytics通过实时广告竞标过程收集位置信息,允许竞价购买广告的公司查看客户的IP地址和更精确的位置信息(如果启用)。Gravy Analytics的数据库中包含来自iPhone应用程序的位置信息,这些应用包括FlightRadar、Grindr和Tinder,尽管这些应用与数据经纪公司没有直接关系,但通过它们的广告收集了用户位置信息。
在iPhone的设置应用程序的隐私与安全部分关闭应用跟踪,可以防止广告获取独特的设备标识符,从而将位置信息与特定设备链接,防止应用使用精确的位置信息也是保护隐私的另一种方式。
安全公司Predicta Lab的首席执行官巴蒂斯特·罗伯特告诉我们,没有启用应用跟踪的iPhone用户的数据并未被共享。