اختراق ضخم يسرّب بيانات المواقع لملايين المستخدمين

أفاد موقع “تك كرانش” التقني بأن شركة Gravy Analytics، المتخصصة في جمع بيانات المواقع، تعرّضت لاختراق كبير أدى إلى كشف معلومات المواقع الخاصة بالملايين من مستخدمي هواتف آيفون وأندرويد.

وكشفت شركة Unacast، الشركة الأم لـ Gravy Analytics، عن هذا الخرق الأمني موضحةً أن المخترقين تمكنوا من الوصول إلى بيئة تخزين البيانات السحابية في منصة أمازون AWS باستخدام “مفتاح وصول مسروق”.

وأوضحت التحقيقات الأولية أن بعض الملفات التي استولى عليها المخترقون قد تحتوي على بيانات شخصية جمعتها الشركة من مستخدمي التطبيقات والخدمات المختلفة.

وبحسب منصة 404Media، فقد ادّعى المخترقون أنهم حصلوا على قوائم العملاء وبيانات المواقع الدقيقة للهواتف الذكية، وهي تظهر تحركات ملايين المستخدمين بدقة، ونُشرت بعض هذه البيانات، التي تضم سجلًا تاريخيًا للمواقع الجغرافية، في منتديات خاصة.

وتؤكد Gravy Analytics أنها تتعقب أكثر من مليار جهاز حول العالم يوميًا، وأوضح خبراء أمنيون أن عينة البيانات التي جمعتها الشركة يمكن استخدامها لتتبع مواقع الأفراد دون أي إخفاء للهوية، مما يزيد خطر الاختراق الأخير.

وفي ديسمبر الماضي، منعت لجنة التجارة الفيدرالية الأمريكية (FTC) شركة Gravy Analytics وفرعها Venntel من بيع بيانات المواقع الحساسة للمستخدمين أو الإفصاح عنها أو استخدامها في أي منتج أو خدمة.

وأكّدت اللجنة أن الشركتين عرضتا المستهلكين لمخاطر تتعلق بالخصوصية، ومنها الكشف عن معلومات صحية، ونشاطات سياسية، وممارسات دينية، مما قد يعرضهم للوصم والتمييز والعنف وأضرار أخرى.

وألزمت اللجنة Gravy Analytics بحذف كافة بيانات المواقع والمنتجات التي طُوّرت اعتمادًا على بيانات المستهلكين. ومع ذلك، يبدو أن هذا القرار جاء متأخرًا، إذ كان نظام الشركة قد تعرض للاختراق بالفعل.

وتعتمد Gravy Analytics على عملية المزايدة الفورية على الإعلانات لجمع بيانات المواقع، مما يتيح للشركات المتنافسة رؤية عناوين الـ IP الخاصة بالمستخدمين ومواقعهم الدقيقة عند تفعيلها.

وتشمل قاعدة بيانات الشركة معلومات المواقع من تطبيقات مثل FlightRadar و Grindr و Tinder. ولا توجد علاقة مباشرة بين هذه التطبيقات والشركة، إذ تُجمع البيانات من خلال الإعلانات المعروضة فيها.

وللحفاظ على الخصوصية، يُنصح المستخدمون بتعطيل استخدام التطبيقات البيانات الدقيقة للموقع، وعدم السماح للتطبيقات بالوصول إلى مواقعهم دون داعٍ.