Nieuws
image

Datahandelaar lekt locatiegegevens van mogelijk miljoenen mensen

maandag 13 januari 2025, 14:26 door Redactie, 11 reacties
Laatst bijgewerkt: 14-01-2025, 15:44

Datahandelaar Gravy Analytics heeft van mogelijk miljoenen mensen de locatiegegevens gelekt. Het bedrijf, dat onlangs nog een bevel van de Amerikaanse toezichthouder FTC kreeg om geen gevoelige locatiegegevens te verkopen, verzamelt via smartphone-apps en advertentieveilingen op grote schaal locatiedata van mensen. Deze data wordt dan weer aan andere partijen doorverkocht. Gravy Analytics claimt dat het elke dag meer dan 17 miljard signalen van de smartphones van mensen verzamelt en verwerkt. Het bedrijf zou volgens de FTC ook gevoelige informatie gebaseerd op de locatiegegevens, zoals medische of gezondheidsbeslissingen, politieke activiteiten en religieuze opvattingen, verkopen.

Unacast, het moederbedrijf van Gravy Analytics, heeft bij de Noorse privacytoezichthouder een datalekmelding gedaan en zegt dit ook bij de Britse privacytoezichthouder te zullen doen. In de melding staat dat Gravy Analytics op 4 januari ontdekte dat iemand toegang had gekregen tot de cloudopslag bij Amazon Web Services (AWS), zo meldt de Noorse televisieomroep NRK. In de melding laat Unacast verder weten dat de aanvaller door middel van een 'gestolen key' toegang tot de cloudomgeving kreeg.

Op internet is iemand die claimt bij Gravy Analytics te hebben ingebroken en heeft een deel van de vermeende gestolen data openbaar gemaakt. Het zou om een dataset van zeventien terabyte gaan. Als het bedrijf het gevraagde losgeld niet betaalt dreigt deze persoon ook de overige data openbaar te maken. De Franse beveiligingsonderzoeker Baptiste Robert analyseerde de dataset en stelt dat die tientallen miljoenen locatiedatapunten bevat. Een deel van deze punten is gekoppeld aan het advertentie-ID van de telefoon en maakt het mogelijk om individuen heel nauwkeurig te volgen en te zien waar ze allemaal zijn geweest.

Uit de dataset zou blijken dat de locatiegegevens via honderden populaire apps zoals Candy Crush, FlightRadar, Grindr en Tinder zijn verzameld. Hiervoor zou gebruik zijn gemaakt van een proces genaamd real-time bidding. Elke keer dat iemand een website bezoekt of app gebruikt en een gerichte advertentie te zien krijgt, worden gegevens over wat hij of zij leest of bekijkt naar bedrijven gestuurd. Dit worden ook "bid requests" genoemd. Advertentiebedrijven versturen deze gegevens naar tal van bedrijven om zo adverteerders te laten bieden om advertenties aan bezoekers te tonen. Bedrijven kunnen zo gericht adverteren.

De bid requests die dit mogelijk maken bevatten vaak allerlei persoonlijke informatie van internetgebruikers, zoals hetgeen dat de bezoeker leest of bekijkt, locatiegegevens, informatie over het gebruikte apparaat, uniek tracking-ID en ip-adres. Wired meldt dat de betreffende apps niet hoeven te weten dat via de advertentieveilingen locatiegegevens over hun gebruikers worden verzameld. De website van Gravy Analytics is op het moment van schrijven offline en het bedrijf wilde niet tegenover Amerikaanse media reageren.

Update

Tinder laat in een reactie aan Security.NL het volgende weten: "We hebben geen relatie met Gravy Analytics en hebben geen bewijs dat deze gegevens afkomstig zijn van de Tinder-app."

Reacties (11)
Reageer met quote
13-01-2025, 14:47 door Anoniem
Voor wie niks te verbergen heeft: Microsoft’s 365 office app maakt hier ook gebruik van.
Reageer met quote
13-01-2025, 16:29 door Anoniem
Een deel van deze punten is gekoppeld aan het advertentie-ID van de telefoon en maakt het mogelijk om individuen heel nauwkeurig te volgen en te zien waar ze allemaal zijn geweest.
Op de iPhone ga naar Settings dan zoek Privacy (& Security) op en vandaar naar Tracking. Dan schuifje uitzetten : "Sta trackingverzoeken van apps toe". Als het is uitgezet, kunnen apps geen activiteiten meer tracken en worden alle nieuwe trackingverzoeken geweigerd.
Reageer met quote
13-01-2025, 17:44 door Anoniem
Tja...
Reageer met quote
13-01-2025, 18:51 door Anoniem
Dat is m.i. het bijzondere van deze berichtgeving: heel de wereld houdt zich bezig met Facebook en andere Big Tech bedrijven als het gaat om privacy, maar ik durf te wedden dat veruit de meeste Nederlanders nog nooit van dit bedrijf hebben gehoord. Er gaat een wereld achter deze digitale marketing schuil die totaal onzichtbaar is (behalve bij incidenten zoals deze). Dat maakt het voor velen totaal ongrijpbaar en lastig te bestrijden.
Reageer met quote
13-01-2025, 18:51 door Anoniem
Of een datahandelaar het lekt of verkoopt dat maakt dan weer niets uit.
Reageer met quote
13-01-2025, 19:38 door Anoniem
Gravy analytics - een heel toepasselijke naam van het lekkende bedrijf:

gravy train
noun

1. used to refer to a situation in which someone can make a lot of money for very little effort
Example: come to Hollywood and get on the gravy train

GRAVY TRAIN | English meaning - Cambridge Dictionary

GRAVY TRAIN definition: 1. a way of making money quickly, easily, and often dishonestly 2. ...

Dat geldt trouwens eigenlijk voor al die datagraaiers.
Reageer met quote
14-01-2025, 07:49 door Anoniem
Door Anoniem: Dat is m.i. het bijzondere van deze berichtgeving: heel de wereld houdt zich bezig met Facebook en andere Big Tech bedrijven als het gaat om privacy, maar ik durf te wedden dat veruit de meeste Nederlanders nog nooit van dit bedrijf hebben gehoord. Er gaat een wereld achter deze digitale marketing schuil die totaal onzichtbaar is (behalve bij incidenten zoals deze). Dat maakt het voor velen totaal ongrijpbaar en lastig te bestrijden.
Inderdaad. En aangezien de AVG als uitgangspunt heeft dat het transparant is voor een betrokkene wat er nou eigenlijk met diens persoonsgegevens gebeurt zou die hele werkwijze als een flagrante schending van de AVG beschouwd moeten worden in mijn ogen. Maar vaak lijkt het wel alsof "we doen iets dat totaal niet transparant is" als een acceptabele vorm van transparantie wordt opgevat. Volgens mij klopt dat niet.
Reageer met quote
15-01-2025, 14:57 door Anoniem
Door Anoniem: Er gaat een wereld achter deze digitale marketing schuil die totaal onzichtbaar is (behalve bij... )

Behind the One-Way Mirror: A Deep Dive Into the Technology of Corporate Surveillance
by Bennett Cyphers and Gennie Gebhart, 2019 [PDF 2,49 MB 48 pages]

https://www.eff.org/wp/behind-the-one-way-mirror

De realiteit is dat tracking moeilijk te vermijden is. Met duizenden onafhankelijke actoren die honderden verschillende technieken gebruiken, is surveillance wijdverbreid en goed gefinancierd. Hoewel er geen schakelaar is om om te draaien die elke tracking kan voorkomen, is er nog steeds veel dat u zelf kunt doen om uw privacy terug te nemen. In dit artikel worden manieren besproken waarop privacybewuste gebruikers tracking door derden kunnen vermijden en verstoren.
Reageer met quote
16-01-2025, 10:36 door Anoniem
Gigantisches Daten-Leak droht
Hacker wollen Bestände von US-Databroker veröffentlichen

Sebastian Meineck, Ingo Dachwitz
09.01.2025

Op 7 januari berichtte het Amerikaanse medium 404 Media voor het eerst over de vermeende hack van Gravy Analytics, aangekondigd op een Russisch hackerforum. Het Amerikaanse bedrijf Gravy Analytics is gespecialiseerd in het verzamelen en evalueren van locatiegegevens.

https://netzpolitik.org/2025/gigantisches-daten-leak-droht-hacker-wollen-bestaende-von-us-databroker-veroeffentlichen/

Gegenüber 404 Media sagte der IT-Sicherheitsexperte Zach Edwards vom Unternehmen Silent Push: „Der Hack eines Standortdaten-Brokers wie Gravy Analytics ist das absolute Horrorszenario, das alle Datenschützer*innen befürchtet und vor dem sie gewarnt haben.“

https://www.404media.co/hackers-claim-massive-breach-of-location-data-giant-threaten-to-leak-data/
Reageer met quote
17-01-2025, 14:05 door Anoniem
Er is een manier om die hele tacking te voorkomen.
Zolang we nog niet verplicht worden een onderhuidse chip te dragen,
gewoon je eigen tracking device de deur uitdoen, (of in ieder geval niet mee naar buiten te nemen) scheelt ook nog eens een shitload aan C02 vorming.
Win-win situatie.
Reageer met quote
30-01-2025, 13:35 door Anoniem
'Locatiegegevens gebruikers honderd Nederlandse apps verkocht op internet'
woensdag 15 januari 2025, 09:55 door Redactie

https://www.security.nl/posting/872434/%27Locatiegegevens+honderd+Nederlandse+apps+verkocht%27

De gegevens zijn afkomstig van de Datastream Group, maar die nu onder de naam Datasys actief is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search