Unele dintre cele mai populare aplicații din lume sunt folosite de actori din industria de advertising pentru a recolta date despre locația utilizatorilor lor la scară largă. Datele recoltate astfel ajung la o companie specializată în acest domeniu, a cărei subsidiară a și vândut anterior astfel de informații către forțele de ordine din Statele Unite. Printre miile de aplicații incluse în fișierele care au fost obținute de hackeri de la compania Gravy Analytics, care activează în domeniul informațiilor de localizare, se numără și Candy Crush sau Tinder, dar și aplicații de urmărire a sarcinii sau de rugăciune, disponibile atât pe iOS, cât și pe Android. Pentru că datele sunt obținute prin ecosistemul de advertising, nu prin codul dezvoltat de creatorii aplicațiilor, colectarea acestor date se realizează cel mai probabil fără știrea utilizatorilor sau a dezvoltatorilor aplicațiilor.
„Pentru prima oară în mod public se pare că avem probe că unul dintre cei mai mari brokeri de date, care vinde atât către clienți comerciali, cât și către clienți guvernamentali, pare să obțină datele dintr-un flux oferit de advertising-ul online, nu din codul folosit pentru aplicații”, a remarcat Zach Edwards, senior analyst cu privire la amenințări cibernetice la firma de securitate cibernetică Silent Push, într-o declarație pentru 404 Media, cei care au oferit primii informația.
Știrea ne oferă o privire la ceea ce se petrece în lumea RTB (real-time bidding, o tactică de advertising care presupune vânzarea și cumpărarea de reclame digitale în timp real). În mod normal, firmele care se ocupă cu informații de localizare plătesc dezvoltatorii de aplicații pentru a include o parte din codul acestora care a colectat locația utilizatorilor. Multe companii au ales însă să procure aceste informații prin ecosistemul de reclame. Un efect secundar al acestei tactici este însă faptul că brokerii de date au acces la acest proces și pot recolta datele din telefoanele utilizatorilor astfel.
În hack-ul care a afectat Gravy Analytics sunt incluse date pentru zeci de milioane de telefoane mobile aflate în Statele Unite, Rusia și Europa. Unele dintre acestea au și o referință cu privire la aplicația cu ajutorul căreia au fost obținute, iar cei de la 404 Media au realizat o listă cuprinzătoare a aplicațiilor.
Astfel, pe listă se află site-uri de dating ca Tinder și Grindr, jocuri uriașe precum Candy Crush, Temple Run, Subway Surfers sau Harry Potter: Puzzles & Spells, aplicații de tranzit ca Moovit, chiar și aplicații de fitness precum MyFitnessPal, rețeaua socială Tumblr, client-ul de mail al celor de la Yahoo, aplicația de office Microsoft 365 și chiar și tracker-ul de zboruri Flightradar24, urmate de alte câteva mii de nume.
Faptul că datele au fost obținute prin procesul RTB arată că responsabilii sunt membri ai industriei de publicitate care acționează în afara legii, precum și giganții tech care facilitează prezența acestei industrii. De asemenea, indică și felul în care utilizatorii se pot proteja, prin încercarea de a bloca reclamele, precum și faptul că mulți dintre dezvoltatorii de aplicații ar putea să nu fi avut idee că datele utilizatorilor lor sunt preluate de alți actori.