Datahandelaar Gravy Analytics heeft van mogelijk miljoenen mensen de locatiegegevens gelekt. Het bedrijf, dat onlangs nog een bevel van de Amerikaanse toezichthouder FTC kreeg om geen gevoelige locatiegegevens te verkopen, verzamelt via smartphone-apps en advertentieveilingen op grote schaal locatiedata van mensen. Deze data wordt dan weer aan andere partijen doorverkocht. Gravy Analytics claimt dat het elke dag meer dan 17 miljard signalen van de smartphones van mensen verzamelt en verwerkt. Het bedrijf zou volgens de FTC ook gevoelige informatie gebaseerd op de locatiegegevens, zoals medische of gezondheidsbeslissingen, politieke activiteiten en religieuze opvattingen, verkopen.

Unacast, het moederbedrijf van Gravy Analytics, heeft bij de Noorse privacytoezichthouder een datalekmelding gedaan en zegt dit ook bij de Britse privacytoezichthouder te zullen doen. In de melding staat dat Gravy Analytics op 4 januari ontdekte dat iemand toegang had gekregen tot de cloudopslag bij Amazon Web Services (AWS), zo meldt de Noorse televisieomroep NRK. In de melding laat Unacast verder weten dat de aanvaller door middel van een 'gestolen key' toegang tot de cloudomgeving kreeg.

Op internet is iemand die claimt bij Gravy Analytics te hebben ingebroken en heeft een deel van de vermeende gestolen data openbaar gemaakt. Het zou om een dataset van zeventien terabyte gaan. Als het bedrijf het gevraagde losgeld niet betaalt dreigt deze persoon ook de overige data openbaar te maken. De Franse beveiligingsonderzoeker Baptiste Robert analyseerde de dataset en stelt dat die tientallen miljoenen locatiedatapunten bevat. Een deel van deze punten is gekoppeld aan het advertentie-ID van de telefoon en maakt het mogelijk om individuen heel nauwkeurig te volgen en te zien waar ze allemaal zijn geweest.

Uit de dataset zou blijken dat de locatiegegevens via honderden populaire apps zoals Candy Crush, FlightRadar, Grindr en Tinder zijn verzameld. Hiervoor zou gebruik zijn gemaakt van een proces genaamd real-time bidding. Elke keer dat iemand een website bezoekt of app gebruikt en een gerichte advertentie te zien krijgt, worden gegevens over wat hij of zij leest of bekijkt naar bedrijven gestuurd. Dit worden ook "bid requests" genoemd. Advertentiebedrijven versturen deze gegevens naar tal van bedrijven om zo adverteerders te laten bieden om advertenties aan bezoekers te tonen. Bedrijven kunnen zo gericht adverteren.

De bid requests die dit mogelijk maken bevatten vaak allerlei persoonlijke informatie van internetgebruikers, zoals hetgeen dat de bezoeker leest of bekijkt, locatiegegevens, informatie over het gebruikte apparaat, uniek tracking-ID en ip-adres. Wired meldt dat de betreffende apps niet hoeven te weten dat via de advertentieveilingen locatiegegevens over hun gebruikers worden verzameld. De website van Gravy Analytics is op het moment van schrijven offline en het bedrijf wilde niet tegenover Amerikaanse media reageren.