يهدد خرق مجموعة بيانات الموقع الضخمة لدى Gravy Analytics خصوصية الملايين

يهدد الاختراق وخرق البيانات في وسيط بيانات الموقع Gravy Analytics خصوصية ملايين الأشخاص حول العالم، الذين كشفت تطبيقات هواتفهم الذكية عن غير قصد عن بيانات موقعهم التي جمعتها شركة البيانات العملاقة.

لم يُعرف بعد النطاق الكامل لخرق البيانات، لكن المتسلل المزعوم نشر بالفعل عينة كبيرة من بيانات الموقع من أهم تطبيقات هواتف المستهلكين – بما في ذلك تطبيقات اللياقة البدنية والصحة والمواعدة والنقل العام، بالإضافة إلى الألعاب الشائعة. تمثل البيانات عشرات الملايين من نقاط بيانات الموقع التي يتواجد فيها الأشخاص ويعيشون ويعملون ويتنقلون بينها.

اندلعت أخبار الاختراق في نهاية الأسبوع الماضي بعد أن نشر أحد المتسللين لقطات شاشة لبيانات الموقع في منتدى الجرائم الإلكترونية باللغة الروسية، مدعيًا أنهم سرقوا عدة تيرابايت من بيانات المستهلكين من Gravy Analytics. أبلغ منفذ الأخبار المستقل 404 Media لأول مرة عن منشور المنتدى الذي يزعم الانتهاك الواضح، والذي ادعى أنه يتضمن بيانات الموقع التاريخية لملايين الهواتف الذكية.

ذكرت هيئة الإذاعة النرويجية NRK في 11 يناير أن Unacast، الشركة الأم لشركة Gravy Analytics، كشفت عن الانتهاك مع سلطات حماية البيانات في البلاد كما هو مطلوب بموجب قانونها.

تأسست Unacast في النرويج عام 2004، واندمجت مع Gravy Analytics في عام 2023 لإنشاء ما وصفته في ذلك الوقت بأنه “واحدة من أكبر” مجموعات بيانات موقع المستهلكين. تدعي Gravy Analytics أنها تتتبع أكثر من مليار جهاز حول العالم يوميًا.

وفي إشعار خرق البيانات المقدم إلى النرويج، قالت Unacast إنها حددت في 4 يناير أن أحد المتسللين حصل على ملفات من بيئة سحابة أمازون الخاصة بها من خلال “مفتاح مختلس”. وقالت Unacast إنها علمت بالاختراق من خلال التواصل مع المتسلل، لكن الشركة لم تقدم المزيد من التفاصيل. وقالت الشركة إن عملياتها توقفت لفترة وجيزة بعد الاختراق.

وقالت Unacast في الإشعار إنها أبلغت أيضًا سلطات حماية البيانات في المملكة المتحدة بالانتهاك. وأكدت لوسي ميلبورن، المتحدثة باسم مكتب مفوض المعلومات في المملكة المتحدة، لـ TechCrunch أن الطرح الأولي للعملة “تلقى تقريرًا من Gravy Analytics ويقوم بإجراء استفسارات”.

لم يُرجع المديران التنفيذيان لشركة Unacast، جيف وايت وتوماس وال، رسائل بريد إلكتروني متعددة من TechCrunch هذا الأسبوع لطلب التعليق. في بيان غير منسوب من حساب بريد إلكتروني عام لـ Gravy Analytics تم إرساله إلى TechCrunch يوم الأحد، أقرت Unacast بالانتهاك، قائلة إن “التحقيق لا يزال مستمرًا”.

كان موقع Gravy Analytics لا يزال معطلاً حتى وقت كتابة هذا التقرير. يبدو أن العديد من النطاقات الأخرى المرتبطة بـ Gravy Analytics لا تعمل أيضًا، وفقًا لعمليات التحقق التي أجرتها TechCrunch خلال الأسبوع الماضي.

تسربت 30 مليون نقطة بيانات الموقع حتى الآن

لقد حذر المدافعون عن خصوصية البيانات منذ فترة طويلة من المخاطر التي يشكلها وسطاء البيانات على خصوصية الأفراد والأمن القومي. يقول الباحثون الذين لديهم إمكانية الوصول إلى عينة بيانات موقع Gravy Analytics التي نشرها المتسلل أنه يمكن استخدام المعلومات لتتبع أماكن وجود الأشخاص مؤخرًا على نطاق واسع.

قال بابتيست روبرت، الرئيس التنفيذي لشركة الأمن الرقمي Predicta Lab، الذي حصل على نسخة من مجموعة البيانات المسربة، في موضوع على X أن مجموعة البيانات تحتوي على أكثر من 30 مليون نقطة بيانات موقع. وشملت هذه الأجهزة الموجودة في البيت الأبيض في واشنطن العاصمة؛ الكرملين في موسكو؛ مدينة الفاتيكان؛ والقواعد العسكرية حول العالم. أظهرت إحدى الخرائط التي شاركها روبرت بيانات الموقع لمستخدمي Tinder في جميع أنحاء المملكة المتحدة. وفي منشور آخر، أظهر روبرت أنه من الممكن التعرف على الأفراد الذين من المحتمل أن يخدموا كأفراد عسكريين من خلال تداخل بيانات الموقع المسروقة مع مواقع المنشآت العسكرية الروسية المعروفة.

وحذر روبرت من أن البيانات تسمح أيضًا بإخفاء هوية الأفراد العاديين بسهولة؛ في أحد الأمثلة، تتبعت البيانات شخصًا أثناء سفره من نيويورك إلى منزله في تينيسي. ذكرت مجلة فوربس عن المخاطر التي تمثلها مجموعة البيانات لمستخدمي LGBTQ+، الذين يمكن لبيانات موقعهم المستمدة من تطبيقات معينة التعرف عليهم في البلدان التي تجرم المثلية الجنسية.

وتأتي أخبار الاختراق بعد أسابيع من قيام لجنة التجارة الفيدرالية بحظر Gravy Analytics وشركتها التابعة Venntel، التي توفر بيانات الموقع للوكالات الحكومية وجهات إنفاذ القانون، من جمع وبيع بيانات موقع الأمريكيين دون موافقة المستهلكين. واتهمت لجنة التجارة الفيدرالية الشركة بتتبع ملايين الأشخاص بشكل غير قانوني إلى مواقع حساسة، مثل عيادات الرعاية الصحية والقواعد العسكرية.

بيانات الموقع التي تم استغلالها من شبكات الإعلانات

تستمد Gravy Analytics الكثير من بيانات موقعها من عملية تسمى تقديم العطاءات في الوقت الفعلي، وهي جزء أساسي من صناعة الإعلان عبر الإنترنت والتي تحدد خلال مزاد قصير مدته ميلي ثانية أي المعلنين سيعرض إعلانه على جهازك.

خلال هذا المزاد شبه الفوري، يمكن لجميع المعلنين الذين يقدمون عروض أسعار رؤية بعض المعلومات حول جهازك، مثل الشركة المصنعة ونوع الطراز، وعناوين IP الخاصة به (والتي يمكن استخدامها لاستنتاج الموقع التقريبي للشخص)، وفي بعض الحالات، المزيد بيانات الموقع الدقيقة إذا تم منحها من قبل مستخدم التطبيق، إلى جانب العوامل الفنية الأخرى التي تساعد في تحديد الإعلان الذي سيتم عرضه للمستخدم.

ولكن كنتيجة ثانوية لهذه العملية، يمكن لأي معلن يقدم عروض أسعار – أو أي شخص يراقب هذه المزادات عن كثب – أيضًا الوصول إلى مجموعة ما يسمى ببيانات “تدفق العطاءات” التي تحتوي على معلومات الجهاز. ويمكن لسماسرة البيانات، بما في ذلك أولئك الذين يبيعون البيانات للحكومات، دمج تلك المعلومات المجمعة مع بيانات أخرى حول هؤلاء الأفراد من مصادر أخرى لرسم صورة مفصلة عن حياة شخص ما ومكان وجوده.

تكشف تحليلات بيانات الموقع التي أجراها باحثون أمنيون، بما في ذلك روبرت من شركة Predicta Lab، عن آلاف التطبيقات التي تعرض الإعلانات والتي شاركت، دون قصد في كثير من الأحيان، بيانات تدفق العطاءات مع وسطاء البيانات.

تحتوي مجموعة البيانات على بيانات مستمدة من تطبيقات Android وiPhone الشهيرة، بما في ذلك FlightRadar وGrindr وTinder – والتي نفت جميعها أي روابط تجارية مباشرة مع Gravy Analytics ولكنها أقرت بعرض الإعلانات. ولكن بحكم طبيعة كيفية عمل صناعة الإعلان، من الممكن أن تقوم تطبيقات عرض الإعلانات بجمع بيانات مستخدميها دون أن تكون على علم بذلك صراحةً أو توافق عليه.

وكما أشارت 404 Media، فمن غير الواضح كيف استمدت Gravy Analytics مجموعاتها الهائلة من بيانات الموقع، مثل ما إذا كانت الشركة قد جمعت البيانات بنفسها أو من وسطاء بيانات آخرين. وجدت 404 Media أنه تم استنتاج كميات كبيرة من بيانات الموقع من عنوان IP الخاص بمالك الجهاز، والذي تم تحديد موقعه الجغرافي لتقريب موقعه الحقيقي، بدلاً من الاعتماد على مالك الجهاز الذي يسمح للتطبيق بالوصول إلى إحداثيات GPS الدقيقة للجهاز.

ما يمكنك فعله لمنع مراقبة الإعلانات

وفقًا لمجموعة الحقوق الرقمية Electronic Frontier Foundation، تتم مزادات الإعلانات على كل موقع ويب تقريبًا، ولكن هناك إجراءات يمكنك اتخاذها لحماية نفسك من مراقبة الإعلانات.

يمكن أن يكون استخدام أداة حظر الإعلانات – أو أداة حظر المحتوى على مستوى الهاتف المحمول – بمثابة دفاع فعال ضد مراقبة الإعلانات عن طريق منع تحميل كود الإعلان على مواقع الويب في متصفح المستخدم للبدء به.

تحتوي أجهزة Android وiPhone أيضًا على ميزات على مستوى الجهاز تجعل من الصعب على المعلنين تتبعك بين التطبيقات أو عبر الويب، وربط بيانات جهازك المستعارة بهويتك الحقيقية. لدى EFF أيضًا دليل جيد حول كيفية التحقق من إعدادات الجهاز هذه.

إذا كان لديك جهاز Apple، فيمكنك الانتقال إلى خيارات “التتبع” في إعداداتك وإيقاف تشغيل الإعداد الخاص بطلبات التطبيق للتتبع. يؤدي هذا إلى إلغاء المعرف الفريد لجهازك، مما يجعل تمييزه عن أي جهاز آخر غير ممكن.

قال روبرت لـ TechCrunch: “إذا قمت بتعطيل تتبع التطبيق، فلن تتم مشاركة بياناتك”.

يجب على مستخدمي Android الانتقال إلى قسم “الخصوصية” ثم قسم “الإعلانات” في إعدادات هواتفهم. إذا كان الخيار متاحًا، فيمكنك حذف معرّف الإعلان الخاص بك لمنع أي تطبيق على هاتفك من الوصول إلى المعرّف الفريد لجهازك في المستقبل. يجب على الأشخاص الذين ليس لديهم هذا الإعداد إعادة تعيين معرفات الإعلانات الخاصة بهم بشكل منتظم.

إن منع التطبيقات من الوصول إلى موقعك الدقيق عندما لا يكون ذلك مطلوبًا سيساعد أيضًا في تقليل أثر البيانات لديك.

تم التحديث بتعليق من ICO.

تواصل مع Zack Whittaker بشكل آمن على Signal وWhatsApp على الرقم ‎+1 646-755-8849. يمكنك أيضًا مشاركة المستندات بشكل آمن مع TechCrunch عبر SecureDrop.