Wired & 404 Media：2024年數千款移動應用遭遇位置資料收集 涉及數千萬使用者隱私

這些資訊來自 Gravy Analytics 的駭客檔案，這是一家位置資料公司，其子公司 Venntel 曾向美國執法機構出售全球位置資料。 Wired 報導了這一資訊，並與 404 Media 合作製作了這篇報導。

資料洩露事件暴露了一個龐大的應用程式網路，從 Candy Crush 等流行遊戲到 Tinder 和 Grindr 等約會應用程式，不一而足。 其中還包括懷孕跟蹤和宗教祈禱應用程式等敏感類別。

網路安全公司 Silent Push 的高階威脅分析師 Zach Edwards 告訴 404 Media：”我們似乎首次公開證明，向商業和政府客戶銷售資料的最大資料經紀商之一似乎是從線上廣告’競價流’中獲取資料，而不是將程式碼嵌入應用程式本身。”

這一訊息揭示了實時競價（RTB）的世界，即公司透過競價在應用程式中投放廣告的過程。 然而，這一系統有一個危險的副作用：資料經紀人可以攔截這一過程，獲取手機使用者的位置資料。

愛德華茲將此描述為”隱私保護的噩夢”，並補充說：”有一些公司就像全球的蜜獾一樣，對每一條資料為所欲為”。

資料收集的規模令人震驚。 被駭客攻擊的 Gravy 資料包括來自美國、俄羅斯和歐洲裝置的數千萬手機座標。 受影響應用程式的列表非常廣泛，涵蓋了社交網路、健身追蹤器、電子郵件客戶端等多個類別，甚至包括使用者為保護隱私而下載的 VPN 應用程式。

儘管資料洩露事件似乎涉及 Gravy Analytics，但目前仍不清楚 Gravy 是自己收集這些位置資料，還是從其他來源獲得這些資料。 該資料集的日期可追溯到 2024 年，是位置資料行業不透明世界中難得的一瞥。

Gravy Analytics 在這個生態系統中扮演著舉足輕重的角色，它彙總各種來源的手機定位資料，並透過其子公司 Venntel 出售給商業實體或政府機構。 此前的調查顯示，Venntel 的客戶包括多個美國政府機構，如移民與海關執法局 (ICE)、海關與邊境保護局 (CBP)、國稅局 (IRS)、聯邦調查局 (FBI) 和緝毒局 (DEA)。

這種資料收集影響深遠，引發了嚴重的隱私問題，並凸顯出這些資料可能會被用於使用者從未打算或同意的用途。 例如，媒體曾展示過一個名為”Locate X”的工具如何利用 Venntel 的資料監控州外墮胎診所的訪客。

名單上的大多數應用程式開發商和公司都沒有回應置評請求。 不過，Flightradar24 在一封電子郵件中表示，從未聽說過 Gravy，但承認顯示廣告是為了”幫助 Flightradar24 保持免費”。

Tinder 否認與 Gravy Analytics 有任何關係，而 Muslim Pro（受影響的祈禱應用程式之一）則聲稱它沒有授權廣告網路收集其使用者的位置資料。

發現這些資料似乎來源於實時競價，意義尤為重大。 它將責任轉嫁給了廣告行業的不法行為者和為其提供便利的科技巨頭。 這也表明，許多大型應用程式釋出商可能並不知道他們的使用者資料被竊取，因此很難採取預防措施。

數字取證公司 Adalytics 的創始人 Krzysztof Franaszek 審查了洩露的資料，並指出”這些資料中至少有一部分可能來自與廣告相關的實時競價”。 他指出，有證據表明，Google的廣告平臺正在提供一些廣告，使外部公司（包括潛在的政府承包商）能夠進行這種跟蹤。

美國聯邦貿易委員會最近也對類似行為採取了行動。 12 月，該機構禁止定位資料公司 Mobilewalla”出於參與線上廣告拍賣以外的目的”收集消費者資料。 聯邦貿易委員會還命令 Venntel 和 Gravy Analytics 刪除歷史位置資料，並禁止它們出售與敏感地區（如醫療診所和宗教場所）相關的資料，但在有限的情況下除外。