Il nuovo anno si apre con una notizia allarmante per la sicurezza digitale: Gravy Analytics, uno dei principali broker di dati al mondo, è stato vittima di un attacco informatico che ha messo a rischio i dati di localizzazione di milioni di utenti iPhone e Android. Secondo quanto riportato da TechCrunch, l’attacco è stato reso possibile da un accesso non autorizzato al sistema di archiviazione cloud su AWS, sfruttando una chiave di accesso impropriamente acquisita.
La violazione ha coinvolto “alcuni file”, come dichiarato dalla società madre Unacast, e sembra che tra i dati sottratti ci siano informazioni dettagliate sui movimenti degli utenti raccolte da servizi di terze parti che si affidano a Gravy Analytics. Gli hacker sostengono di avere accesso a liste di clienti e dati di localizzazione precisi, pubblicati successivamente su forum privati.
La gravità della situazione risiede nel fatto che Gravy Analytics traccia quotidianamente oltre un miliardo di dispositivi in tutto il mondo. I dati raccolti, privi di adeguata anonimizzazione, possono essere utilizzati per ricostruire i movimenti recenti delle persone, mettendo a rischio la loro privacy in maniera significativa.
La Federal Trade Commission degli Stati Uniti era già intervenuta lo scorso dicembre contro Gravy Analytics e la sua sussidiaria Venntel, vietando la vendita, la divulgazione o l’uso di dati sensibili sulla posizione degli utenti. L’agenzia aveva sottolineato i rischi derivanti da tale raccolta massiccia di informazioni, tra cui la possibilità di rivelare dettagli sensibili come religione, orientamenti politici o stato di salute, aprendo la strada a discriminazioni e minacce alla sicurezza personale.
L’ordine della FTC prevedeva la cancellazione di tutti i dati storici e dei prodotti sviluppati a partire da tali informazioni. Tuttavia, il tempismo dell’attacco suggerisce che la violazione possa essere avvenuta prima che queste misure fossero pienamente implementate.
Gravy Analytics utilizza processi di asta in tempo reale per gli annunci pubblicitari. Quando le aziende competono per mostrare un annuncio, hanno accesso a informazioni come l’indirizzo IP e, se abilitato, la posizione precisa dell’utente. Questo sistema consente a Gravy Analytics di accumulare enormi quantità di dati tramite applicazioni che includono popolari servizi come FlightRadar, Grindr e Tinder. Pur non avendo rapporti diretti con Gravy Analytics, gli utenti finiscono per condividere informazioni personali attraverso gli annunci pubblicitari.
Come proteggersi?
Gli utenti iPhone possono adottare alcune misure per ridurre il rischio di esposizione dei propri dati:
- Disattivare il tracciamento delle app: vai su Impostazioni > Privacy e sicurezza > Tracciamento app e disattiva questa funzione per impedire che gli annunci possano ottenere l’identificativo univoco del dispositivo.
- Disattivare la localizzazione precisa: sempre nelle impostazioni della privacy, è possibile limitare l’accesso alla posizione precisa per le app. Questo aumenta il livello di anonimato senza compromettere l’esperienza d’uso delle applicazioni.
Secondo Baptiste Robert, CEO della Predicta Lab, gli utenti iPhone che avevano già disattivato il tracciamento app non hanno visto i propri dati esposti, dimostrando l’importanza di queste configurazioni di sicurezza.