Хакеры получили доступ к геолокациям миллионов пользователей по всем миру, включая военных
Злоумышленники, взломавшие базы норвежской компании Gravy Analytics, получили доступ к геоданным миллионов пользователей по всему миру. Среди утекших данных — маршруты военных, локации пользователей Tinder, посетителей гей-клубов и больниц. Эксперты по кибербезопасности уверены, что утечка также угрожает конфиденциальности журналистов, политических активистов и обычных граждан, которые могут стать жертвой мошенников. «Вот Так» рассказывает, что нужно знать о взломе.
Gravy Analytics — один из крупнейших в мире брокеров мобильных данных. Компания ежедневно получает колоссальное число геосигналов, перерабатывает их и перепродает рекламодателям, коммерческим фирмам и органам государственной безопасности США.
Gravy Analytics утверждает, что отслеживает миллиарды устройств по всему миру. NBC отмечает, что Федеральная торговая комиссия США (FTC) еще в конце прошлого года заподозрила Gravy Analytics и ее дочернее подразделение Venntel в незаконном сборе сведений, которые можно использовать для наблюдения за тем, как люди ходят в храмы и мечети, военные учреждения, государственные объекты и больницы.
Воспользовавшись привычкой пользователей разрешать приложениям отслеживать геолокацию устройства, компания получала и перерабатывала огромные массивы информации об их передвижениях, посчитали в FTC.
Хронология взлома
Первые сообщения о взломе Gravy Analytics появились в начале января, когда на одном из русскоязычных хакерских форумов была размещена публикация с утверждением, что хакерам удалось проникнуть во внутреннюю инфраструктуру компании. Как поясняет 404 Media, взломщики продемонстрировали файлы, в которых содержалась деловая документация, списки клиентов и массивы локационной информации миллионов людей. Взлом затронул как устройства на Android, так и продукцию компании Apple.
Согласно информации NBC, дочерняя компания Gravy Analytics — европейское подразделение компании Unacast — уже направила уведомление в органы защиты данных Норвегии, а также сообщала о взломе в Великобритании. В Unacast заявили, что злоумышленники получили доступ к информации, «незаконно присвоив ключ» к данным, хранившимся на облачных серверах Amazon.
По местному законодательству, компании пришлось реагировать быстро, поскольку утечка могла коснуться резидентов Европейской экономической зоны, где действуют строгие правила по защите информации. В США, как передает NBC, компания пока не подавала никаких обращений в органы. Однако в ответе на запрос технологического портала TechCrunch компания также подтвердила факт взлома.
Gravy Analytics была уведомлена о взломе непосредственно самими хакерами, которые через некоторое время потребовали у компании выкуп — в противном случае злоумышленники грозятся опубликовать полный массив данных.
Масштабы взлома и мнение экспертов
Издание DesignRush утверждает, что в базе Gravy Analytics фигурируют данные, добытые через более чем 10 тыс. популярных приложений (полный список можно посмотреть здесь).
Утекшие сведения содержат данные о геолокациях пользователей, которые заходили в такие популярные сервисы, как Tinder и Grindr (сервисы знакомств), Candy Crush и другие популярные игры, MyFitnessPal и аналогичные фитнес-приложения, AccuWeather и приложения для прогноза погоды, CapCut и другие программы для редактирования видео, религиозные приложения для молитв, транспортные и навигационные сервисы.
В опубликованных образцах данных, которые исследователи проанализировали, фигурируют координаты Белого дома, Кремля, Ватикана, военных баз и мест, связанных со спецслужбами разных стран.
Батист Робер, генеральный директор компании по цифровой безопасности Predicta Lab, получил копию данных, добытых хакерами. По его словам, в архиве содержится свыше 30 млн координат. Он рассказал в твиттере, что эти геоточки можно сопоставить с записями о конкретных устройствах, тем самым определяя личность и маршруты сотрудников военных или госорганизаций. Такая детальность способна нанести урон госструктурам и поставить под угрозу жизнь или карьеру людей, чья работа требует соблюдения конфиденциальности, отмечает он.
Также Робер обратил внимание, что в утекших данных о России есть военные объекты — и по этим маршрутам можно отследить передвижения конкретных российских военных.
Forbes отмечает, что взлом затрагивает и ЛГБТ-пользователей различных приложений. Например, можно отследить посетителей гей-клубов. Для жителей некоторых стран с высоким уровнем ксенофобии и жестким законодательством против однополых связей такая информация может угрожать их безопасности.
По словам Зака Эдвардса, старшего аналитика угроз в компании Silent Push, специализирующейся на кибербезопасности, взлом локационного брокера подобного масштаба — «кошмарный сценарий, о котором давно предупреждали защитники конфиденциальности». Если сведения о местоположении миллионов людей окажутся в свободном доступе, это может привести к масштабным случаям слежки, шантажа и нападений на людей, считает Эдвардс.
«С учетом того, что в базах Gravy Analytics могут находиться сотрудники спецслужб и военных частей, такой массив локации создает прямую угрозу национальной безопасности. Если пересечь эти данные с домашними адресами, рабочими маршрутами и аккаунтами в соцсетях, можно точно установить личность и привычки многих людей», — отметил аналитик.
Эдвардс уверен, что геолокации широкого круга лиц несут риск не только для военных и чиновников, но и для политических активистов, журналистов и обычных граждан, которых могут начать преследовать злоумышленники. Если хакеры выложат всю базу, деанонимизация многих пользователей будет лишь вопросом времени, считает Эдвардс, ведь сопоставить GPS-координаты с данными аккаунтов людей в социальных сетях не слишком сложно.
Издание DesignRush в своем материале приводит аналогичные опасения, добавляя, что под ударом могут оказаться также пользователи религиозных приложений, приложений для беременных и других сервисов, где приватность особенно важна.
Как именно компания получала данные о геолокации
TechCrunch подчеркивает, что важнейшим источником данных для Gravy Analytics стала система рекламных аукционов — торг в реальном времени (real-time bidding). Каждое приложение, которое показывает рекламу и запрашивает доступ к геолокации, может непреднамеренно передавать координаты целому ряду посредников. Многие разработчики приложений даже не подозревают, что их пользователи становятся объектом подобного сбора.
По словам специалистов, именно реализация подобных аукционов позволяет компаниям наподобие Gravy Analytics собирать гигантские массивы данных о том, где конкретное устройство находилось днем или вечером, рядом с каким государственным объектом или в каком медицинском центре. В результате у хакеров появилась возможность получить сведения, которые затрагивают интересы людей, не имевших ни малейшего понятия о том, что их местоположение пойдет в продажу и станет целью для киберпреступников.