هک گسترده داده‌های مکان موبایل ممکن است ایمنی افراد همجنس‌گرا را به خطر انداخته باشد

در روز یکشنبه، یک هکر ادعا کرد که ترابایت‌ها داده از Gravy Analytics، یکی از بزرگترین کارگزاران داده‌های مکان در جهان که از برنامه‌های موبایلی پرکاربرد مانند بازی‌ها و برنامه‌های دوستیابی جمع‌آوری شده است، به سرقت برده است. این هکر، که کمی بیش از یک گیگابایت از داده‌ها را به عنوان مدرک ادعایی در یک انجمن محبوب سایبری منتشر کرد، تهدید کرد که اگر این شرکت پاسخ ندهد، اطلاعات بیشتری را به اشتراک خواهد گذاشت. تا روز جمعه، پست هکر حذف شده بود، که نشانه‌ای از همکاری Gravy بود.

اگر ادعاهای هکر معتبر باشد، نشان دهنده نقض فاجعه باری است که اطلاعات مکانی میلیون‌ها نفر را افشا می‌کند. الکس هولدن، محقق امنیت سایبری و بنیانگذار Hold Security، که داده‌های منتشر شده توسط هکر را بررسی کرده است، گفت: «نگرانی قابل توجهی در مورد بزرگی این نقض وجود دارد. با بررسی داده‌های افشا شده، می‌توان بر اساس مهرهای زمانی، آدرس‌های IP و عوامل کاربر مرورگر، ارتباطاتی را برای اتصال مکان‌های جغرافیایی به افراد ایجاد کرد.» هولدن گفت که ناپدید شدن پست هکر نشان می‌دهد که آنها برای جلوگیری از افشای بیشتر داده‌ها با Gravy به توافق رسیده‌اند.

بر اساس اسنپ شات داده‌های حذف شده، یکی از مشتریان Gravy یک برنامه برای جامعه LGBTQ است. به نظر می‌رسید که داده‌ها مکان‌های دقیق میلیون‌ها کاربر این برنامه، از جمله ۲۰۰ نفر مستقر در امارات متحده عربی را ارائه می‌دهند، جایی که همجنس‌گرایی غیرقانونی است و قابل مجازات با حبس است. فوربس به دلیل نگرانی از به خطر انداختن بیشتر کاربران، نام این برنامه را فاش نمی‌کند و به درخواست‌ها برای تأیید یا رد اینکه آیا داده‌های کاربران آن به Gravy ارسال شده است یا خیر، پاسخ نداده است.

«همیشه به این فکر می‌کنم که چگونه برخی از عوامل تهدید، از جمله عوامل تهدید تحت حمایت دولت، توانسته‌اند این نوع داده‌ها را با خرید قانونی دسترسی به دست آورند.»

این شرکت، که اکنون پس از ادغام سال گذشته با نام Unacast شناخته می‌شود، به درخواست‌ها برای اظهار نظر پاسخی نداد. Gravy و رقبای آن داده‌های مکان را در کنار خدمات تجزیه و تحلیل به انواع مشتریان ارائه می‌دهند، خواه خرده‌فروشانی که سعی در تعیین میزان تردد دارند، یا آژانس‌های اجرای قانون که سعی در تعیین محل افراد یا گروه‌هایی از افراد دارند. هک ادعایی برای اولین بار توسط 404 Media گزارش شد.

هولدن و سایر محققان هشدار دادند که اگرچه هکر بخشی از کل داده‌هایی را که ادعا می‌کرد به دست آورده است منتشر کرده، اما هنوز مشخص نیست که دقیقاً چه مقدار اطلاعات معتبر از Gravy را در اختیار دارد. هکر نحوه به دست آوردن داده‌ها را فاش نکرد.

با این حال، فوربس توانست با سه فرد که در یک فایل "کاربران" نام برده شده بودند، تأیید کند که اطلاعات مربوط به آنها در پایگاه داده دقیق است و آنها یا مشتری Gravy هستند یا بودند. در همین حال، وب سایت Gravy در حال حاضر از کار افتاده است، همانطور که رابط برنامه نویسی کاربردی (API) آن، نرم افزاری است که به مشتریانش امکان اتصال به داده های آن را می دهد.

هولدن خاطرنشان کرد که هکر، معروف به "شبانه"، در محافل هکری زیرزمینی به عنوان نوعی فروشنده شهرت پیدا کرده بود و دسترسی به سرورهای هک شده شرکت هایی که توسط دیگران به خطر افتاده بودند را ارائه می کرد. هولدن گفت که آنها اکنون ادعا می کنند که خودشان شرکت ها را نقض می کنند.

Grindr، یکی دیگر از برنامه های دوستیابی با هدف جامعه LGBTQ+، نیز به عنوان یک برنامه شریک در داده های درز کرده فهرست شده بود، اگرچه این شرکت گفت که این یک توصیف نادرست است. هولدن به فوربس گفت که هزاران ورودی برای مختصات کاربران Grindr وجود دارد، همه در کشورهایی که همجنس گرایی در آن قانونی است، مانند انگلستان و آرژانتین. و بر اساس پست لینکدین از آلون گال، بنیانگذار و مدیر ارشد فناوری در شرکت امنیت سایبری Hudson Rock، به نظر می رسید که یک اسکرین شات از نشت اطلاعات مکان Grindr را نشان می دهد (گال از اظهار نظر خودداری کرد). با این حال، Grindr به فوربس گفت که هرگز رابطه تجاری با Gravy نداشته است. این شرکت سال‌ها پیش اشتراک‌گذاری داده‌های مکان با تمام شرکا را متوقف کرد.

مکان‌های کاربر ممکن است از طریق راه‌های دیگر وارد پایگاه‌های داده Gravy شده باشند. همانطور که گال در لینکدین نوشت: «برنامه‌هایی مانند Grindr ممکن است داده‌های کاربر را با جمع‌آوران یا کارگزاران داده به اشتراک بگذارند، که به نوبه خود آن را با شرکت‌هایی مانند Gravy Analytics به اشتراک می‌گذارند.» Grindr گفت که داده‌ها را با جمع‌آوران یا کارگزاران داده به اشتراک نمی‌گذارد.

شرکت‌های داده‌های مکان مانند Gravy همچنین می‌توانند داده‌ها را از سایر کارگزارانی که اطلاعات مکان را از منابع مختلف در صنعت جمع‌آوری می‌کنند، خریداری کنند، که توسط حامیان حریم خصوصی به عنوان یک شبکه پیچیده از نهادهایی که جزئیات خصوصی افراد را با نظارت اندک معامله می‌کنند، مورد انتقاد قرار می‌گیرند.

در حال حاضر از Grindr در بریتانیا به عنوان بخشی از یک اقدام دسته جمعی شکایت شده است که ادعا می شود این شرکت داده های مکان و وضعیت HIV کاربران را حداقل تا سال 2020 به شرکای مختلف بازاریابی فروخته است. کلی میراندا، مسئول ارشد حفظ حریم خصوصی Grindr، تأیید کرد که این شرکت "قبلاً اطلاعات مکان را در درخواست‌های آگهی تا اوایل سال 2020 گنجانده است." در مورد سایر ادعاها در پرونده بریتانیا، میراندا گفت که آنها "بر اساس توصیف نادرست اساسی از شیوه های پنج سال پیش، قبل از اوایل سال 2020" بوده است و افزود: "Grindr هرگز اطلاعات بهداشتی گزارش شده توسط کاربر، از جمله وضعیت HIV، را برای اهداف تبلیغاتی نفروخته یا به اشتراک نگذاشته است."

داده‌های مکان یک کسب‌وکار بحث‌برانگیز است. ماه گذشته، کمیسیون تجارت فدرال (FTC) اعلام کرد قصد دارد علیه Gravy و شرکت خواهرش Venntel «به دلیل ردیابی و فروش غیرقانونی داده‌های مکان حساس از کاربران، از جمله فروش داده‌های مربوط به بازدید مصرف‌کنندگان از مکان‌های مرتبط با سلامت و اماکن مذهبی» اقدام کند. FTC پیشنهاد کرد که هر دو نهاد را از فروش یا به اشتراک گذاری داده های مکان "به جز در شرایط محدود مربوط به امنیت ملی یا اجرای قانون" منع کند، اما دستور رضایت را نهایی نکرده است.

اگرچه هکری که ادعا می کند به اطلاعات Gravy دسترسی دارد می تواند بخش بزرگی از داده های حساس را افشا کند، اما احتمالاً از قبل برای فروش گذاشته شده بود. هولدن افزود: «در حالی که این به اندازه کافی نگران‌کننده است، زیرا ممکن است افشای کامل داده‌های سرقت شده باشد، من همچنان به این فکر می‌کنم که چگونه برخی از عوامل تهدید، از جمله عوامل تهدید تحت حمایت دولت، توانسته‌اند این نوع داده‌ها را با خرید قانونی دسترسی به داده‌های Gravy Analytics به دست آورند.»

بیشتر در فوربس