Uma violação de dados expôs as informações precisas de localização fornecidas por milhões de usuários a aplicativos populares que veiculam anúncios, incluindo aplicativos de namoro, jogos, clientes de e-mail e até mesmo um aplicativo de rastreamento menstrual. Um hacker que assumiu a responsabilidade pela violação de dados da corretora Gravy Analytics conseguiu coletar dados que poderiam revelar informações de localização dos usuários, incluindo sua casa e local de trabalho. Os dados coletados de smartphones iOS e Android foram afetados pela violação, mas alguns proprietários de iPhone podem ter sido protegidos por um recurso introduzido com o iOS 14.5.
A violação de dados do Gravy Analytics afetou usuários de iOS e Android
Um relatório recente da 404 Media revelou que um hacker violou o Gravy Analytics, um corretor de dados que coleta e monetiza informações de localização de aplicativos projetados para smartphones iOS e Android. Resultou na exfiltração de listas de clientes, bem como de informações de localização de smartphones “que mostram os movimentos precisos das pessoas”.
A empresa controladora da empresa, Unacast, revelou às autoridades norueguesas (via NRK) que um hacker conseguiu usar uma “chave apropriada indevidamente” para acessar dados por meio de seu armazenamento baseado em nuvem. O incidente ocorreu no dia 4 de janeiro, segundo divulgação da empresa. No entanto, o documento não revela informações relacionadas à escala da violação de dados.
De acordo com o CEO do Predicta Lab, Baptiste Robert, que acessou uma amostra de 1,4 GB das informações vazadas, os dados incluem “dezenas de milhões de pontos de dados de localização”, incluindo bases militares, bem como o Kremlin, a Casa Branca e até o Vaticano. .
Robert também afirmou que a amostra continha uma lista de 3.455 nomes de pacotes para Android que vazaram dados do usuário, ao mesmo tempo em que apontou que este era apenas um subconjunto dos dados violados. Isso supostamente inclui aplicativos populares como Tinder, Grindr, Candy Crush, MyFitnessPal, Subway Surfers, Tumblr e até Microsoft 365
A transparência do rastreamento de aplicativos pode ter protegido usuários do iPhone
Segundo Robert, a amostra dos dados da violação revela que os dados de localização estão vinculados ao ID de publicidade de um dispositivo. Em um smartphone Android, a localização de um usuário está conectada ao seu Android Advertising ID (AAID), um identificador exclusivo de 32 dígitos que pode ser redefinido pelos usuários. Enquanto isso, a localização dos usuários do iPhone está vinculada ao Identificador para Anunciantes (IDFA), uma sequência alfanumérica exclusiva atribuída a um dispositivo.
🛰️ A violação do Gravy Analytics expõe a facilidade com que os cidadãos podem ser rastreados: – Visto no Complexo de Lançamento Espacial 36 – Trajeto de trabalho mapeado – Paradas em Home Depot e visitas familiares perto de Kansas City registradas
🔒 Um lembrete claro dos riscos de privacidade na coleta de dados de localização. https://t.co/uXGWR6UUGu pic.twitter.com/EiI5TUNmNY
-Baptiste Robert (@fs0c131y) 9 de janeiro de 2025
Isso significa que os proprietários de iPhone que executam o iOS 14.5 ou posterior, que inclui App Tracking Transparency (ATT), estavam protegidos se selecionassem o Peça ao aplicativo para não rastrear opção. Quando um usuário seleciona esta opção, o iOS retorna um valor vazio em vez de seu IDFA. A Apple também permite que os usuários bloqueiem todas as solicitações de rastreamento de usuários por padrão.
O especialista diz que os proprietários de iPhone podem navegar para Configurações > Privacidade e segurança > Monitorando e desabilitar o Permitir que aplicativos solicitem rastreamento alternar, enquanto os usuários do Android podem acessar Configurações > Privacidade > Anúncios e toque em Excluir ID de publicidade.
source – www.gadgets360.com
