Candy Crush, Tinder, MyFitnessPal: aplikasi yang disalahgunakan untuk pelacakan lokasi

Bagaimana ribuan aplikasi mengumpulkan informasi lokasi

Pengumpulan data lokasi: Peretasan terhadap perusahaan data lokasi bernama Gravy Analytics mengungkap bahwa aplikasi populer seperti Candy Crush, Tinder, dan MyFitnessPal digunakan untuk mengumpulkan informasi lokasi pengguna. Data ini dikumpulkan melalui ekosistem iklan, dan kemungkinan besar terjadi tanpa sepengetahuan pengembang aplikasi maupun pengguna.

Sistem penawaran waktu nyata: Pengumpulan data lokasi dilakukan melalui sistem penawaran waktu nyata (RTB). Dalam proses persaingan untuk menempatkan iklan di aplikasi, broker data dapat mengumpulkan informasi ini. Ini menjadi ancaman besar terhadap privasi.

Data yang diretas: Data Gravy yang diretas mencakup koordinat puluhan juta perangkat seluler di Amerika Serikat, Rusia, dan Eropa, serta data lokasi yang terhubung ke aplikasi tertentu. Tidak jelas apakah data ini dikumpulkan langsung oleh Gravy atau diperoleh dari perusahaan lain.

Daftar aplikasi: Berbagai aplikasi termasuk Tinder, Grindr, Candy Crush, Temple Run, Subway Surfers, MyFitnessPal, Tumblr, dan Microsoft 365 tercantum dalam daftar. Aplikasi-aplikasi ini berpotensi mengumpulkan data lokasi melalui iklan.

Respons pengembang: Sebagian besar pengembang aplikasi membantah memiliki hubungan dengan Gravy, namun mengakui bahwa data lokasi dapat dikumpulkan melalui jaringan iklan. Misalnya, Tinder dan Muslim Pro membantah hubungan dengan Gravy, sementara Grindr membantah berbagi data dengan broker data.

Cara pengumpulan data: Data terutama dikumpulkan dengan memperkirakan lokasi melalui alamat IP. Ini berarti lokasi dapat dilacak bahkan tanpa menggunakan data GNSS/GPS.

Tindakan regulasi: Komisi Perdagangan Federal AS (FTC) melarang perusahaan data lokasi lain bernama Mobilewalla mengumpulkan data melalui proses RTB. Gravy dan Venntel juga disorot karena mengumpulkan data tanpa persetujuan pengguna.

Riset keamanan: 404 Media memverifikasi data Gravy yang diretas dengan berbagai cara. Beberapa file berisi kredensial Snowflake, alat data warehousing milik Gravy.