数据经纪商Gravy Analytics遭黑客攻击 数百万用户位置信息泄露

2025年1月14日，数据经纪商Gravy Analytics遭到黑客攻击，数百万 iPhone和Android用户的位置信息因此面临风险。 Gravy Analytics的母公司Unacast在本月早些时候披露了数据泄露事件，并表示其AWS云存储环境已被未经授权的人员使用"盗用的访问密钥"访问。

初步调查结果显示，这些文件 “可能包含 ”从使用Gravy Analytics的第三方服务的用户那里收集的 “个人数据”。据404Media报道，黑客声称他们掌握了客户名单和智能手机的位置数据，这些数据可以显示人们的精确移动，数百万用户受到影响。 其中一些数据(确实包括智能手机的历史位置)已在私人论坛上公布。

Gravy Analytics表示，该公司每天跟踪全球超过10亿台设备，而看过 Gravy Analytics收集的数据样本的安全研究人员证实，这些信息可用于跟踪一个人最近的位置，而且没有进行匿名处理。

12月，美国联邦贸易委员会(FTC)禁止Gravy Analytics及其子公司 Venntel在任何产品或服务中销售、披露或使用敏感位置数据。 FTC警告称，这两家公司使消费者的隐私受到损害，其中可能包括披露健康信息、政治活动和宗教习俗，并使人们面临耻辱、歧视、暴力和其他伤害的风险。

该命令要求Gravy Analytics公司删除所有历史位置数据以及使用从消费者处收集的数据开发的任何数据产品，但显然为时已晚，因为该公司的系统当时很可能已经被攻破。

Gravy Analytics通过实时广告竞价程序收集位置数据，该程序允许竞相购买广告的公司查看客户IP地址和更精确的位置数据(如果启用)。 Gravy Analytics的数据库中有来自FlightRadar、Grindr和Tinder等iPhone应用程序的位置数据，虽然这些应用程序与数据经纪商没有直接关系，但用户的位置信息是通过它们的广告收集的。

在iPhone的"设置"应用程序的"隐私和安全"部分关闭应用程序跟踪功能，广告就无法获得唯一的设备标识符，从而将位置数据与特定设备联系起来，而阻止应用程序使用精确的位置数据也是保护更多隐私的一种方法。

安全公司Predicta Lab首席执行官巴普蒂斯特-罗伯特(Baptiste Robert)表示，禁用应用程序跟踪功能的iPhone用户不会被共享数据。

原文始发于微信公众号（安全学习那些事儿）：数据经纪商Gravy Analytics遭黑客攻击 数百万用户位置信息泄露