هکرها از هزاران اپلیکیشن برای جاسوسی از موقعیت مکانی کاربران استفاده کرده‌اند؛ تهدید به فروش اطلاعات

همه می‌دانیم که اپلیکیشن‌ها داده‌های ما را جمع‌آوری می‌کنند؛ اما این داده‌ها چگونه مورد استفاده قرار می‌گیرند؟ برخی شرکت‌ها اطلاعات مذکور را می‌فروشند و برخی دیگر از آن برای تبلیغات هدفمند یا ارتباط بهتر با کاربران استفاده می‌کنند؛ اما بدترین سناریو زمانی رخ می‌دهد که شرکتی که داده‌های هزاران اپلیکیشن را جمع‌آوری کرده است، هک شود و هکرها تهدید به انتشار عمومی داده‌ها کنند. این داده‌ها شامل فهرست مشتریان، اطلاعات صنایع مختلف و سوابق موقعیت مکانی کاربران از گوشی‌های هوشمند می‌شود.

طبق اعلام 404Media، هکرها از دسترسی به اطلاعات شخصی میلیون‌ها کاربر خبر داده‌اند و از شرکت Gravy Analytics خواسته‌اند در مدت ۲۴ ساعت به آن‌ها پاسخ دهد وگرنه داده‌ها را منتشر خواهند کرد. Venntel، یکی از شرکت‌های زیرمجموعه‌ی Gravy Analytics، قبلاً داده‌هایی را به دولت ایالات‌ متحده فروخته بود که در عملیات‌های مهاجرتی در مرزهای این کشور استفاده شده‌اند.

بر اساس گزارش Wired، هزاران اپلیکیشن داده‌های کاربران را جمع‌آوری کرده‌اند. این وب‌سایت فهرستی از اپلیکیشن‌های یادشده منتشر کرده است که برخی از معروف‌ترین آن‌ها عبارت‌اند از:

• Candy Crush
• Tinder
• Grindr
• Microsoft Outlook
• My Period Calendar & Tracker
• MyFitnessPal
• MyAnimeList
• Goat Simulator
• Bloons TD Battles

درحال حاضر نمی‌دانیم که آیا تمام داده‌های سرقت‌شده را Gravy Analytics جمع‌آوری کرده یا بخشی از اطلاعات از سایر شرکت‌ها خریداری شده است. همچنین نمی‌دانیم داده‌ها دقیقاً در چه بازه‌ی زمانی‌ای جمع‌آوری شده‌اند، اما حضور بازی Call of Duty Mobile: Season 5 در فهرست نشان می‌دهد که بخشی از داده‌ها به می ۲۰۲۴ (اردیبهشت و خرداد ۱۴۰۳) مربوط می‌شود.

ظاهراً داده‌های هک‌شده از طریق فرایندی به نام Real-Time Bidding جمع‌آوری شده‌اند. در این روش، شرکت‌های تبلیغاتی که در مزایده‌های آنی شرکت می‌کنند، به اطلاعات دستگاه‌ها و آدرس‌های IP دسترسی پیدا می‌کنند. ناشران اپلیکیشن‌ها الزاماً نمی‌دانند کدام شرکت‌ها در اپلیکیشن آن‌ها تبلیغ نشان می‌دهند.

زک ادواردز، تحلیلگر ارشد امنیت سایبری در Silent Push، در گفت‌وگو با 404Media اظهار داشت: «هک شرکت‌های جمع‌آوری داده‌های موقعیت مکانی مانند Gravy Analytics، همان کابوسی است که مدافعان حریم خصوصی همواره از آن ترسیده‌اند و هشدار داده‌اند. این اتفاق می‌تواند آسیب‌های جدی به کاربران وارد کند و اگر داده‌ها به بازارهای زیرزمینی راه یابد، خطر ردیابی برای افراد و سازمان‌ها افزایش خواهد یافت.»

برخی داده‌های جمع‌آوری‌شده از کاربران دقیق نیستند و از طریق موقعیت مکانی تقریبی به‌دست آمده‌اند؛ اما در اپلیکیشن‌هایی که به مجوز موقعیت مکانی دقیق دسترسی دارد، احتمالاً این داده‌ها دقیق باشند. کریستوف فراناشک، بنیان‌گذار شرکت Krzysztof Franaszek Adalytics اعلام کرد برخی از User-Agent‌ها که نحوه‌ی اتصال دستگاه به خدمات را مشخص می‌کنند، به ابزار afma-sdk ،SDK تبلیغات موبایلی گوگل اشاره دارند.

چندین شرکت از جمله Tinder و Grindr اعلام کرده‌اند که هیچ مدرکی از ارتباط با Gravy Analytics ندارند و تأیید نمی‌کنند که داده‌هایشان از طریق اپلیکیشن‌های آن‌ها جمع‌آوری شده باشد.