Σκάνδαλο με εφαρμογές γνωριμιών: Χάκερ διέρρευσε δεδομένα εκατομμυρίων χρηστών

Την Κυριακή, ένας χάκερ ισχυρίστηκε ότι είχε κλέψει terabytes δεδομένων από την Gravy Analytics, έναν από τους μεγαλύτερους ενδιάμεσους δεδομένων τοποθεσίας παγκοσμίως που συλλέγονται από ευρέως χρησιμοποιούμενες εφαρμογές για κινητά, όπως παιχνίδια και εφαρμογές γνωριμιών.

Ο χάκερ, ο οποίος δημοσίευσε λίγο πάνω από ένα gigabyte των δεδομένων ως υποτιθέμενη απόδειξη σε ένα δημοφιλές φόρουμ κυβερνοεγκληματιών, απείλησε να μοιραστεί περισσότερα στοιχεία των χρηστών από αυτές τις εφαρμογές γνωριμιών, αν η εταιρεία δεν ανταποκρινόταν. Μέχρι την Παρασκευή, η ανάρτηση του χάκερ είχε αφαιρεθεί - μια ένδειξη ότι η Gravy είχε συνεργαστεί.

Εάν οι ισχυρισμοί του χάκερ αληθεύουν έστω και στο ελάχιστο, τότε θα μιλάμε για μια καταστροφική παραβίαση, εκθέτοντας τις πληροφορίες τοποθεσίας εκατομμυρίων ανθρώπων. «Υπάρχει σημαντική ανησυχία σχετικά με το μέγεθος αυτής της παραβίασης», δήλωσε ο Alex Holden, ερευνητής κυβερνοασφάλειας και ιδρυτής της Hold Security, ο οποίος εξέτασε τα δεδομένα που δημοσίευσε ο χάκερ. «Εξετάζοντας τα αποκαλυφθέντα δεδομένα, είναι δυνατόν να γίνουν συσχετίσεις με βάση τις χρονοσφραγίδες, τις διευθύνσεις IP και τα στοιχεία χρήστη του προγράμματος περιήγησης για να συνδεθούν οι γεωγραφικοί τόποι με τα άτομα». Ο Holden δήλωσε ότι η εξαφάνιση της ανάρτησης του χάκερ υποδηλώνει ότι είχε έρθει σε συμφωνία με την Gravy για την αποφυγή περαιτέρω αποκαλύψεων δεδομένων.

Σύμφωνα με την ανάρτηση που έχει πλέον διαγραφεί, πελάτης της Gravy ήταν και μια εφαρμογή γνωριμιών για τη ΛΟΑΤΚΙ+ κοινότητα. Τα δεδομένα φάνηκε να παρέχουν ακριβείς τοποθεσίες των εκατομμυρίων χρηστών της εφαρμογής, μεταξύ των οποίων και 200 με έδρα τα Ηνωμένα Αραβικά Εμιράτα, όπου η ομοφυλοφιλία είναι παράνομη και τιμωρείται με φυλάκιση. Το Forbes δεν κατονομάζει την εφαρμογή λόγω ανησυχιών ότι θα μπορούσε να θέσει σε περαιτέρω κίνδυνο τους χρήστες και δεν είχε απαντήσει σε αιτήματα για να επιβεβαιώσει ή να διαψεύσει αν τα δεδομένα των χρηστών της είχαν σταλεί στην Gravy.

Η εταιρεία, η οποία είναι πλέον γνωστή ως Unacast μετά από συγχώνευση πέρυσι, δεν απάντησε σε αιτήματα για σχόλια. Η Gravy και οι ανταγωνιστές της προσφέρουν δεδομένα τοποθεσίας μαζί με υπηρεσίες ανάλυσης σε κάθε είδους πελάτες, είτε πρόκειται για εμπόρους λιανικής πώλησης που προσπαθούν να προσδιορίσουν την επισκεψιμότητα, είτε για υπηρεσίες επιβολής του νόμου που προσπαθούν να προσδιορίσουν την τοποθεσία ατόμων ή ομάδων ανθρώπων. Η ηλεκτρονική επίθεση αναφέρθηκε για πρώτη φορά από το 404 Media.

Τι ακριβώες έχει συμβεί με τις συγκεκριμένες εφαρμογές γνωριμιών

Ο Holden και άλλοι ερευνητές προειδοποίησαν ότι, αν και ο χάκερ έδωσε στη δημοσιότητα ένα μέρος των συνολικών δεδομένων που ισχυρίστηκε ότι απέκτησε, δεν ήταν ακόμη σαφές πόσες ακριβώς νόμιμες πληροφορίες της Gravy είχε στην κατοχή του και φυσικά εννοείται ότι δεν αποκάλυψε πώς απέκτησε τα δεδομένα.

Εν τω μεταξύ, ο ιστότοπος της Gravy είναι επί του παρόντος εκτός λειτουργίας, όπως και η διεπαφή προγραμματισμού εφαρμογών (API), το λογισμικό που επιτρέπει στους πελάτες της να συνδέονται με τα δεδομένα της.

Ο Χόλντεν σημείωσε ότι ο χάκερ, γνωστός ως «nightly», είχε αποκτήσει φήμη στους κύκλους χάκερ ως ένα είδος πωλητή, προσφέροντας πρόσβαση σε χακαρισμένους διακομιστές εταιρειών που είχαν παραβιαστεί από άλλους. Τώρα ισχυριζόταν ότι παραβίαζε τις ίδιες τις εταιρείες, δήλωσε ο Holden.

Το Grindr, μια άλλη εφαρμογή γνωριμιών που απευθύνεται στην κοινότητα LGBTQ+, αναφερόταν επίσης ως εφαρμογή συνεργατών στα δεδομένα που διέρρευσαν, αν και η εταιρεία δήλωσε ότι πρόκειται για ψευδή περιγραφή. Ο Holden δήλωσε ότι υπήρχαν χιλιάδες καταχωρήσεις για τις συντεταγμένες των χρηστών του Grindr, όλες σε χώρες όπου η ομοφυλοφιλία ήταν νόμιμη, όπως το Ηνωμένο Βασίλειο και η Αργεντινή. Και σύμφωνα με μια ανάρτηση στο LinkedIn από τον Alon Gal, συνιδρυτή και CTO της εταιρείας κυβερνοασφάλειας Hudson Rock, ένα στιγμιότυπο οθόνης από τη διαρροή φαινόταν να δείχνει πληροφορίες τοποθεσίας του Grindr (ο Gal αρνήθηκε να σχολιάσει). Ωστόσο, η Grindr δήλωσε ότι δεν είχε ποτέ επιχειρηματική σχέση με την Gravy. Η εταιρεία έπαψε να μοιράζεται δεδομένα τοποθεσίας με όλους τους συνεργάτες πριν από χρόνια.

 Οι τοποθεσίες των χρηστών θα μπορούσαν να έχουν βρεθεί στις βάσεις δεδομένων της Gravy με άλλα μέσα. Όπως έγραψε ο Gal στο LinkedIn, «Εφαρμογές όπως το Grindr μπορεί να μοιράζονται δεδομένα χρηστών με συλλέκτες ή μεσίτες δεδομένων, οι οποίοι με τη σειρά τους τα μοιράζονται με εταιρείες όπως η Gravy Analytics». Η Grindr δήλωσε ότι δεν μοιράζεται δεδομένα με συλλέκτες δεδομένων ή μεσίτες.

Οι εταιρείες δεδομένων τοποθεσίας όπως η Gravy μπορούν επίσης να αγοράζουν δεδομένα από άλλους μεσίτες που συλλέγουν πληροφορίες τοποθεσίας από διάφορες πηγές του κλάδου, ο οποίος χλευάζεται από τους υποστηρικτές της ιδιωτικής ζωής ως ένας δαιδαλώδης ιστός οντοτήτων που εμπορεύονται τα προσωπικά στοιχεία των ανθρώπων με ελάχιστη εποπτεία.

Η Grindr μηνύεται επί του παρόντος στο Ηνωμένο Βασίλειο στο πλαίσιο μιας συλλογικής αγωγής, όπου υποστηρίζεται ότι η εταιρεία πούλησε τα δεδομένα θέσης και την κατάσταση HIV των χρηστών σε διάφορους συνεργάτες μάρκετινγκ μέχρι τουλάχιστον το 2020. Η επικεφαλής υπεύθυνη απορρήτου της Grindr, Kelly Miranda, επιβεβαίωσε ότι η εταιρεία «προηγουμένως συμπεριλάμβανε πληροφορίες τοποθεσίας σε αιτήματα διαφημίσεων μέχρι τις αρχές του 2020». Όσον αφορά τους άλλους ισχυρισμούς στην υπόθεση του Ηνωμένου Βασιλείου, η Miranda δήλωσε ότι «βασίζονται σε θεμελιώδη εσφαλμένο χαρακτηρισμό των πρακτικών πριν από πέντε χρόνια, πριν από τις αρχές του 2020», προσθέτοντας: «Η Grindr ποτέ δεν πούλησε ή μοιράστηκε πληροφορίες υγείας που αναφέρθηκαν από τους χρήστες, συμπεριλαμβανομένης της κατάστασης HIV, για διαφημιστικούς σκοπούς».

Τι απαντούν για τη διαρροή δεδομένων οι επικεφαλής των εφαρμογών γνωριμιών

Τα δεδομένα τοποθεσίας είναι μια αμφιλεγόμενη υπόθεση. Τον περασμένο μήνα, η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) ανακοίνωσε ότι σχεδίαζε να αναλάβει δράση κατά της Gravy και της αδελφής της εταιρείας Venntel «για παράνομη παρακολούθηση και πώληση ευαίσθητων δεδομένων τοποθεσίας από χρήστες, συμπεριλαμβανομένης της πώλησης δεδομένων σχετικά με τις επισκέψεις των καταναλωτών σε τοποθεσίες που σχετίζονται με την υγεία και το θρήσκευμα». Η FTC πρότεινε να απαγορευτεί και στις δύο οντότητες να πωλούν ή να μοιράζονται δεδομένα τοποθεσίας «εκτός από περιορισμένες περιπτώσεις που αφορούν την εθνική ασφάλεια ή την επιβολή του νόμου», αλλά δεν έχει οριστικοποιήσει την εντολή συγκατάθεσης.

Αν και ο χάκερ που ισχυρίζεται ότι έχει πρόσβαση στις πληροφορίες της Gravy θα μπορούσε να εκθέσει έναν τεράστιο όγκο ευαίσθητων δεδομένων, πιθανότατα ήταν ήδη προς πώληση. «Ενώ αυτό είναι αρκετά ανησυχητικό ως πιθανή πλήρης αποκάλυψη κλεμμένων δεδομένων», πρόσθεσε ο Holden, «συνεχίζω να σκέφτομαι πώς κάποιοι φορείς απειλών, συμπεριλαμβανομένων των φορέων απειλών που υποστηρίζονται από κράτη, ήταν σε θέση να αποκτήσουν αυτού του είδους τα δεδομένα αγοράζοντας νόμιμα πρόσβαση στα δεδομένα της Gravy Analytics».

ΠΗΓΗ: Forbes.com