Dünyanın en popüler uygulamalarından bazıları, büyük ölçekte hassas konum verilerini toplamak için reklam sektörünün sahtekar üyeleri tarafından büyük olasılıkla ortaklaşa seçiliyor ve bu veriler, yan kuruluşu daha önce küresel konum verilerini ABD’ye satmış olan bir konum verisi şirketinin eline geçiyor. kanun yaptırımı.
Konum verisi şirketi Gravy Analytics’in hacklenen dosyalarında yer alan binlerce uygulama, aşağıdaki oyunlara kadar her şeyi içeriyor: Şeker Ezmesi ve hem Android hem de iOS’ta Tinder gibi flört uygulamalarından hamilelik takibi ve dini dua uygulamalarına kadar. Toplamanın büyük bir kısmı, uygulama oluşturucuların kendileri tarafından geliştirilen kodlar değil, reklam ekosistemi aracılığıyla gerçekleştiğinden, bu veri toplama büyük olasılıkla kullanıcıların ve hatta uygulama geliştiricilerin bilgisi olmadan gerçekleşmektedir.
“İlk kez kamuya açık olarak, hem ticari hem de devlet müşterilerine satış yapan en büyük veri komisyoncularından birinin verilerini, uygulamaların içine gömülü kod yerine çevrimiçi reklamcılık ‘teklif akışı’ndan elde ettiğine dair kanıta sahip görünüyoruz” Siber güvenlik firması Silent Push’un kıdemli tehdit analisti ve konum verileri sektörünü yakından takip eden Zach Edwards, verilerin bir kısmını inceledikten sonra 404 Media’ya şunları söylüyor:
Veriler, gerçek zamanlı teklif verme (RTB) dünyasına nadir bir bakış sağlıyor. Geçmişte konum verisi firmaları, uygulama geliştiricilerine, kullanıcılarının konum verilerini toplayan kod paketlerini dahil etmeleri için ödeme yapıyordu. Pek çok şirket bunun yerine konum bilgisini, şirketlerin uygulamaların içine reklam yerleştirmek için teklif verdiği reklam ekosistemi aracılığıyla elde etmeye yöneldi. Ancak bunun bir yan etkisi de veri komisyoncularının bu süreci dinleyebilmesi ve insanların cep telefonlarının konumunu toplayabilmesidir.
“Bu gizlilik açısından bir kabus senaryosu çünkü bu veri ihlali yalnızca RTB sistemlerinden alınan verileri içermekle kalmıyor, aynı zamanda küresel bir bal porsuğu gibi davranan ve önüne çıkan her veri parçasıyla ne isterse onu yapan bir şirket var. “diyor Edwards.
Saldırıya uğrayan Gravy verilerine ABD, Rusya ve Avrupa’daki cihazların on milyonlarca cep telefonu koordinatı da dahil. Bu dosyalardan bazıları, her konum verisi parçasının yanındaki bir uygulamaya da referans veriyor. 404 Media, uygulama adlarını çıkardı ve bahsedilen uygulamaların bir listesini oluşturdu.
Listede tanışma siteleri Tinder ve Grindr; gibi devasa oyunlar Şeker Ezmesi, Tapınak Koşusu, Metro SörfçüleriVe Harry Potter: Bulmacalar ve Büyüler; toplu taşıma uygulaması Moovit; 10 milyondan fazla indirmeye sahip bir adet takip uygulaması olan Adet Takvimim ve Takipçim; popüler fitness uygulaması MyFitness Pro; sosyal ağ Tumblr; Yahoo’nun e-posta istemcisi; Microsoft’un 365 ofis uygulaması; ve uçuş takip cihazı Flightradar24. Listede ayrıca Müslüman duası ve Hıristiyan İncil uygulamaları, çeşitli hamilelik takip programları ve bazı kullanıcıların ironik bir şekilde gizliliklerini korumak amacıyla indirebilecekleri birçok VPN uygulaması gibi çok sayıda din odaklı uygulamadan da bahsediliyor.
Tam listeyi burada bulabilirsiniz. Birden fazla güvenlik araştırmacısı, verilerde yer alan farklı boyutlardaki diğer uygulama listelerini yayınladı. Sürümümüz nispeten daha büyük çünkü hem Android hem de iOS uygulamalarını içeriyor ve okuyucuların yükledikleri uygulamaları aramasını kolaylaştırmak için aynı uygulamanın küçük ad değişiklikleri olan kopyalarını tutmaya karar verdik.
Her ne kadar bu veri seti Gravy’nin bir hacklemesinden gelmiş olsa da, Gravy’nin bu konum verilerini kendisinin mi topladığı yoksa başka bir şirketten mi aldığı ya da nihai olarak hangi konum şirketinin bu veriye sahip olduğu veya kullanma lisansına sahip olduğu açık değil.