Candy Crush, Tinder, MyFitnessPal: Những ứng dụng bị lạm dụng để theo dõi vị trí

Cách hàng nghìn ứng dụng thu thập thông tin vị trí

Thu thập dữ liệu vị trí: Một vụ tấn công vào công ty dữ liệu vị trí Gravy Analytics đã làm lộ ra rằng các ứng dụng phổ biến như Candy Crush, Tinder và MyFitnessPal đang được sử dụng để thu thập thông tin vị trí của người dùng. Dữ liệu này được thu thập thông qua hệ sinh thái quảng cáo, và nhiều khả năng diễn ra mà cả nhà phát triển ứng dụng lẫn người dùng đều không biết.

Hệ thống đấu giá thời gian thực: Việc thu thập dữ liệu vị trí diễn ra thông qua hệ thống đấu giá thời gian thực (RTB). Trong quá trình cạnh tranh để đặt quảng cáo vào ứng dụng, các nhà môi giới dữ liệu có thể thu thập thông tin này. Đây là một mối đe dọa lớn đối với quyền riêng tư.

Dữ liệu bị hack: Dữ liệu Gravy bị lộ bao gồm tọa độ của hàng chục triệu thiết bị di động ở Mỹ, Nga và châu Âu, cũng như dữ liệu vị trí gắn với các ứng dụng cụ thể. Chưa rõ liệu Gravy trực tiếp thu thập dữ liệu này hay nhận từ công ty khác.

Danh sách ứng dụng: Nhiều ứng dụng có trong danh sách như Tinder, Grindr, Candy Crush, Temple Run, Subway Surfers, MyFitnessPal, Tumblr và Microsoft 365. Các ứng dụng này có thể thu thập dữ liệu vị trí thông qua quảng cáo.

Phản ứng của nhà phát triển: Phần lớn nhà phát triển ứng dụng phủ nhận có quan hệ với Gravy, nhưng thừa nhận rằng dữ liệu vị trí có thể bị thu thập thông qua mạng quảng cáo. Ví dụ, Tinder và Muslim Pro phủ nhận có quan hệ với Gravy, còn Grindr phủ nhận việc chia sẻ dữ liệu với các nhà môi giới dữ liệu.

Cách thu thập dữ liệu: Dữ liệu chủ yếu được thu thập bằng cách suy đoán vị trí thông qua địa chỉ IP. Điều này có nghĩa là vẫn có thể theo dõi vị trí mà không cần dùng dữ liệu GNSS/GPS.

Biện pháp quản lý: Ủy ban Thương mại Liên bang Mỹ (FTC) đã cấm một công ty dữ liệu vị trí khác là Mobilewalla thu thập dữ liệu thông qua quy trình RTB. Gravy và Venntel cũng bị chỉ ra là đã thu thập dữ liệu mà không có sự đồng ý của người dùng.

Nghiên cứu bảo mật: 404 Media đã xác minh dữ liệu Gravy bị hack bằng nhiều phương pháp khác nhau. Một số tệp có chứa thông tin xác thực của Snowflake, công cụ lưu trữ dữ liệu mà Gravy sử dụng.