Un recente furto di dati ha sollevato gravi preoccupazioni sulla sicurezza delle informazioni degli utenti. La violazione, rivendicata su XSS, un forum russo noto per le attività hacker, ha portato alla sottrazione di oltre 10 terabyte di dati. Esperti di sicurezza, tra cui Marley Smith di RedSense e John Hammond di Huntress, hanno confermato la legittimità della violazione analizzando un campione di 1,4 gigabyte pubblicato online.

Attualmente, Gravy Analytics e la sua consociata Unacast, con cui ha fuso le operazioni nel 2023, non hanno rilasciato dichiarazioni ufficiali. I tentativi di contattare l'azienda, compresi accessi diretti al suo ufficio di Ashburn in Virginia, sono stati infelici. Tra l'altro, anche il sito web di Gravy risulta offline durante le indagini.

Il furto avviene in un contesto di crescente attenzione sull'industria dei dati di localizzazione, la quale consente ai broker come Gravy di raccogliere dati estremamente dettagliati sugli spostamenti degli utenti. Queste informazioni sono utilizzate sia per scopi pubblicitari sia per potenziali pratiche di sorveglianza governativa.

Sotto l'amministrazione Biden, il governo statunitense ha intensificato i controlli su queste pratiche. La Federal Trade Commission (FTC) ha accusato Gravy e Mobilewalla di pratiche ingannevoli per raccolta di dati senza adeguato consenso. Entrambe le aziende hanno accettato di eliminare i dati storici e di limitare la raccolta da luoghi sensibili, ma la FTC non ha ancora commentato la recente violazione.

Il database rubato include informazioni dettagliate su dispositivi mobili e applicazioni popolari, come Candy Crush, Subway Surfers e applicazioni di incontri come Tinder e Grindr. Si parla anche di app dedicate alla salute, come MyFitnessPal, e social network come Tumblr e Yahoo Mail. Incredibilmente, anche app VPN, utilizzate per proteggere la privacy, sono state coinvolte nel furto.

La varietà delle applicazioni coinvolte suggerisce che la raccolta di dati non è limitata a specifici settori, ma è un fenomeno allarmante che abbraccia un'ampia gamma di software.

Secondo esperti del settore, la maggior parte di questa raccolta di dati avviene attraverso il sistema di inserzioni pubblicitarie, in cui informazioni sensibili vengono intercettate durante le aste pubblicitarie. Questo consente ai broker di accedere ai dati senza dover stipulare accordi con gli sviluppatori delle applicazioni.

L'esposizione di queste informazioni non solo mina la privacy personale, ma apre anche la porta a rischi gravi, come stalking e ricatti. Le informazioni sottratte includono dettagli come coordinate GPS e indirizzi IP, rendendo gli utenti vulnerabili.

La FTC ha sollevato preoccupazioni riguardo alla capacità dell'industria pubblicitaria di proteggere adeguatamente i dati degli utenti, con la presidente Lina Khan che definisce il settore "estremamente esposto". Inoltre, la questione del sistema di real-time bidding (RTB) emerge come un aspetto cruciale, consentendo ai broker di raccogliere dati senza il consenso degli utenti.

Questo episodio evidenzia le gravi carenze nel sistema di regolamentazione attuale e l'urgenza di misure più incisive per tutelare gli utenti. Sebbene la FTC abbia già vietato alcune pratiche di raccolta dati, la complessità della rete pubblicitaria rende difficile monitorare e prevenire abusi. Ma quanto altro devono ancora scoprire gli utenti prima di rendersi conto della loro vulnerabilità nel mondo digitale?