Leak da Gravy Analytics revela localizações de milhões de pessoas

Uma fuga de dados revela a localização e rotinas de milhões de pessoas, usando dados recolhidos de apps e jogos populares como o Candy Crush, Tinder, MyFitnessPal, e outras.

Trazendo para a esfera pública o tipo de dados que são recolhidos, analisados e utilizados diariamente nos bastidores da internet, alguém diz ter conseguido roubar uma imensa base de dados de localizações da empresa Gravy Analytics, uma correctora de dados de localização.

A fuga resulta de um processo chamado real-time bidding, que permite a anunciantes acederem a informações detalhadas durante leilões de anúncios. No real-time bidding, os anunciantes analisam dados dos dispositivos para decidir quais anúncios exibir. Contudo, este processo também gera dados residuais conhecidos como "bidstream", recolhidos por empresas como a Gravy Analytics. Estas informações são frequentemente combinadas com outras fontes para criar perfis detalhados sobre os utilizadores. Agora, com a Gravy Analytics comprometida, estes dados confidenciais começaram a ser divulgados online, afectando milhões de utilizadores e revelando a dimensão e detalhes dos dados que são recolhidos.

Entre as apps afectadas estão plataformas de encontros como Tinder e Grindr, jogos como Candy Crush e Subway Surfers, apps do Microsoft 365, apps de fitness como o MyFitnessPal, VPNs, apps religiosas e muitas outras (uma lista indica mais de 12 mil apps). A diversidade de serviços atingidos sublinha como as práticas de recolha de dados estão profundamente disseminadas no ecossistema digital, deixando os utilizadores expostos, mesmo quando tentam proteger a sua privacidade.

Uma das formas que os utilizadores têm para minimizar a sua exposição a este tipo de incidentes, além de usarem ad-blockers, passa por desactivar as opções de sistema que autorizam este tipo de partilha de dados. No iOS os utilizadores não só podem desactivar esta partilha de dados app por app, como também fazê-lo de forma global, impedindo que as apps sequer façam esse pedido, indo a: Settings > Privacy & Security > Tracking > Allow Apps to Request to Track.

O problema é que, enquanto num leak que revele passwords os utilizadores podem alterá-las e continuar com a sua vida normal, neste caso estamos perante algo que é mais aproximado do roubo de dados biométricos, que depois de serem roubados não há nada mais a fazer. Embora muitas empresas usem a desculpa da anonimização de dados de localização, não faltam exemplos que têm comprovado como dados de localização permitem facilmente identificar indivíduos. Por exemplo, basta ver que indivíduos passam os seus dias em determinado local de trabalho, e que à noite regressam a determinada zona (casa). Dificilmente existirá grande sobreposição de dados a nível de funcionários de uma empresa e as suas casas. Estes dados permitem também facilmente identificar pessoas que trabalhem em locais específicos, como bancos, bases militares, instituições públicas, etc., possibilitando analisar as suas rotinas e facilitando ataques direccionados.