Peretasan dan pelanggaran data pada broker data lokasi Gravy Analytics mengancam privasi jutaan orang di seluruh dunia, yang aplikasi ponsel cerdasnya tanpa disadari mengungkapkan data lokasi mereka yang dikumpulkan oleh raksasa data tersebut.
Skala pelanggaran data sepenuhnya belum diketahui, namun tersangka peretas telah menerbitkan sampel besar data lokasi dari aplikasi telepon konsumen terkemuka – termasuk aplikasi kebugaran dan kesehatan, kencan, dan transportasi umum, serta permainan populer. Data tersebut mewakili puluhan juta titik data lokasi di mana orang pernah berada, tinggal, bekerja, dan melakukan perjalanan.
Berita tentang pelanggaran tersebut muncul akhir pekan lalu setelah seorang peretas memposting tangkapan layar data lokasi di forum kejahatan dunia maya berbahasa Rusia yang memiliki akses tertutup, mengklaim bahwa mereka telah mencuri beberapa terabyte data konsumen dari Gravy Analytics. Outlet berita independen 404 Media pertama kali melaporkan postingan forum yang menuduh adanya pelanggaran, yang diklaim menyertakan data lokasi historis jutaan ponsel cerdas.
Penyiar Norwegia NRK melaporkan pada 11 Januari bahwa Unacast, perusahaan induk Gravy Analytics, mengungkapkan pelanggaran tersebut dengan otoritas perlindungan data negara tersebut sebagaimana diwajibkan berdasarkan undang-undangnya.
Unacast, didirikan di Norwegia pada tahun 2004, bergabung dengan Gravy Analytics pada tahun 2023 untuk menciptakan apa yang disebut-sebut sebagai “salah satu kumpulan data lokasi konsumen terbesar”. Gravy Analytics mengklaim melacak lebih dari satu miliar perangkat di seluruh dunia setiap hari.
Di dalam pemberitahuan pelanggaran datanya diajukan ke Norwegia, Unacast mengatakan pihaknya mengidentifikasi pada tanggal 4 Januari bahwa seorang peretas memperoleh file dari lingkungan cloud Amazon melalui “kunci yang disalahgunakan.” Unacast mengatakan pihaknya mengetahui pelanggaran tersebut melalui komunikasi dengan peretas, namun perusahaan tersebut tidak memberikan rincian lebih lanjut. Perusahaan mengatakan operasinya sempat dihentikan setelah pelanggaran tersebut.
Unacast mengatakan dalam pemberitahuannya bahwa pihaknya juga memberi tahu otoritas perlindungan data Inggris tentang pelanggaran tersebut. Juru bicara Kantor Komisaris Informasi Inggris tidak segera berkomentar pada hari Senin ketika dihubungi oleh TechCrunch.
Eksekutif Unacast Jeff White dan Thomas Walle tidak membalas beberapa email dari TechCrunch minggu ini untuk meminta komentar. Dalam pernyataan tanpa atribusi dari akun email umum Gravy Analytics dikirim ke TechCrunch pada hari Minggu, Unacast mengakui pelanggaran tersebut, dengan mengatakan bahwa “penyelidikan masih berlangsung.”
Situs web Gravy Analytics masih tidak aktif pada saat penulisan. Beberapa domain lain yang terkait dengan Gravy Analytics juga tampaknya tidak berfungsi, menurut pemeriksaan yang dilakukan oleh TechCrunch selama seminggu terakhir.
Sejauh ini 30 juta titik data lokasi bocor
Para pendukung privasi data telah lama memperingatkan risiko yang ditimbulkan oleh perantara data terhadap privasi individu dan keamanan nasional. Para peneliti yang memiliki akses terhadap sampel data lokasi Gravy Analytics yang diposting oleh peretas mengatakan bahwa informasi tersebut dapat digunakan untuk melacak keberadaan terkini orang-orang secara ekstensif.
Baptiste Robert, CEO perusahaan keamanan digital Predicta Lab yang memperoleh salinan kumpulan data yang bocor, mengatakan dalam sebuah benang pada X bahwa kumpulan data berisi lebih dari 30 juta titik data lokasi. Ini termasuk perangkat yang berlokasi di Gedung Putih di Washington DC; Kremlin di Moskow; Kota Vatikan; dan pangkalan militer di seluruh dunia. Salah satu peta yang dibagikan oleh Robert menunjukkan data lokasi pengguna Tinder di seluruh Inggris. Di dalam posting lainRobert menunjukkan bahwa dimungkinkan untuk mengidentifikasi individu yang kemungkinan besar bertugas sebagai personel militer dengan tumpang tindih data lokasi yang dicuri dengan lokasi fasilitas militer Rusia yang diketahui.
Robert memperingatkan bahwa data tersebut juga memungkinkan deanonimisasi individu biasa dengan mudah; dalam satu contoh, data tersebut melacak seseorang saat mereka melakukan perjalanan dari New York ke rumahnya di Tennessee. Forbes melaporkan tentang bahayanya yang dimiliki kumpulan data tersebut untuk pengguna LGBTQ+, yang data lokasinya berasal dari aplikasi tertentu dapat mengidentifikasi mereka di negara-negara yang mengkriminalisasi homoseksualitas.
Berita tentang pelanggaran ini muncul beberapa minggu setelah Komisi Perdagangan Federal melarang Gravy Analytics dan anak perusahaannya Venntel, yang menyediakan data lokasi kepada lembaga pemerintah dan penegak hukum, mengumpulkan dan menjual data lokasi orang Amerika tanpa persetujuan konsumen. FTC menuduh perusahaan tersebut secara tidak sah melacak jutaan orang ke lokasi sensitif, seperti klinik kesehatan dan pangkalan militer.
Data lokasi diambil dari jaringan iklan
Gravy Analytics mengambil sebagian besar data lokasinya sebuah proses yang disebut penawaran waktu nyatabagian penting dari industri periklanan online yang menentukan dalam lelang singkat milidetik pengiklan mana yang dapat menayangkan iklannya ke perangkat Anda.
Selama lelang yang hampir seketika itu, semua pengiklan penawaran dapat melihat beberapa informasi tentang perangkat Anda, seperti pembuat dan jenis model, alamat IP-nya (yang dapat digunakan untuk menyimpulkan perkiraan lokasi seseorang), dan dalam beberapa kasus, lebih banyak lagi. data lokasi yang tepat jika diberikan oleh pengguna aplikasi, bersama dengan faktor teknis lainnya yang membantu menentukan iklan mana yang akan ditampilkan kepada pengguna.
Namun sebagai produk sampingan dari proses ini, pengiklan mana pun yang menawar — atau siapa pun yang memantau lelang ini dengan cermat — juga dapat mengakses kumpulan data yang disebut “aliran tawaran” yang berisi informasi perangkat. Pialang data, termasuk mereka yang menjualnya kepada pemerintah, dapat menggabungkan informasi yang dikumpulkan dengan data lain tentang individu-individu tersebut dari sumber lain untuk memberikan gambaran rinci tentang kehidupan dan keberadaan seseorang.
Analisis data lokasi oleh peneliti keamanan, termasuk Robert dari Lab tersebutmengungkap ribuan aplikasi yang menampilkan iklan yang telah berbagi, seringkali tanpa disadari, data aliran tawaran dengan pialang data.
Kumpulan data berisi data yang berasal dari aplikasi Android dan iPhone populer, termasuk FlightRadar, Grindr, dan Tinder — semuanya menolak adanya tautan bisnis langsung ke Gravy Analytics tetapi mengakui menampilkan iklan. Namun berdasarkan cara kerja industri periklanan, aplikasi penayangan iklan mungkin saja mengumpulkan data penggunanya, namun tidak secara eksplisit mengetahui atau menyetujuinya.
Sebagai dicatat oleh 404 Mediatidak jelas bagaimana Gravy Analytics memperoleh sejumlah besar data lokasi, seperti apakah perusahaan mengumpulkan data itu sendiri atau dari pialang data lain. 404 Media menemukan bahwa sejumlah besar data lokasi disimpulkan dari alamat IP pemilik perangkat, yang diberi geolokasi untuk memperkirakan lokasi dunia nyata, dibandingkan mengandalkan pemilik perangkat yang mengizinkan aplikasi mengakses koordinat GPS perangkat secara tepat.
Apa yang dapat Anda lakukan untuk mencegah pengawasan iklan
Per kelompok hak digital Electronic Frontier Foundationlelang iklan terjadi di hampir setiap situs web, namun ada beberapa tindakan yang dapat Anda ambil untuk melindungi diri Anda dari pengawasan iklan.
Menggunakan pemblokir iklan — atau pemblokir konten tingkat seluler — dapat menjadi pertahanan yang efektif terhadap pengawasan iklan dengan memblokir kode iklan agar tidak dimuat di situs web di browser pengguna.
Perangkat Android dan iPhone juga memiliki fitur tingkat perangkat yang mempersulit pengiklan untuk melacak Anda antar aplikasi atau di seluruh web, dan menautkan data perangkat nama samaran Anda ke identitas dunia nyata Anda. EFF juga memiliki panduan yang bagus tentang cara memeriksa pengaturan perangkat ini.
Jika Anda memiliki perangkat Apple, Anda dapat membuka opsi “Pelacakan” di Pengaturan dan matikan pengaturan untuk melacak permintaan aplikasi. Ini menghilangkan pengenal unik perangkat Anda, sehingga tidak dapat dibedakan dari milik orang lain.
“Jika Anda menonaktifkan pelacakan aplikasi, data Anda belum dibagikan,” kata Robert kepada TechCrunch.
Pengguna Android harus membuka bagian “Privasi” lalu “Iklan” pada pengaturan ponsel mereka. Jika opsi ini tersedia, Anda dapat menghapus ID iklan untuk mencegah aplikasi apa pun di ponsel Anda mengakses pengenal unik perangkat Anda di masa mendatang. Mereka yang tidak memiliki pengaturan ini tetap harus mengatur ulang ID iklan mereka secara rutin.
Mencegah aplikasi mengakses lokasi akurat Anda saat tidak diperlukan juga akan membantu mengurangi jejak data Anda.
