Informace o tom, kde se pohybují uživatelé a uživatelky seznamky Tinder, sportovní aplikace MyFitnessPal a řady dalších služeb včetně těch českých, sbírala americká firma Gravy Analytics. Používala k tomu systémy pro zobrazování reklamy na mobilních telefonech. Informace pak prodávala reklamním společnostem i bezpečnostním složkám.

Při kyberútoku na začátku letošního roku se neznámým pachatelům podařilo odcizit databázi se záznamem pohybu milionů lidí, zločinci následně data nabídli k prodeji na ruském kyberkriminálním diskusním fóru.

Your mobile apps are sharing your location with companies like Gravy Analytics.

For instance, here are the locations of Tinder users in the UK. pic.twitter.com/qPjIIRi4pS

— Baptiste Robert (@fs0c131y) January 8, 2025

Firma potvrdila únik dat v oznámení, které její dceřiná společnost Unacast podala k norskému úřadu pro ochranu osobních údajů. Únik dat oznámila i britským úřadům.

V balíku mělo být asi 30 milionů odcizených záznamů o tom, kde se lidé nacházejí. K jejich sběru společnost využívala systémy pro zobrazování online reklamy, konkrétně mechanismus známý pod názvem Real Time Bidding. Ten inzerentům umožňuje zobrazovat lidem webovou reklamu podle jejich dřívějšího chování online.

Reklamní systémy sbírají informace o tom, jaké stránky lidé navštěvují a případně i na jakých místech se pohybují. K propojení jednotlivých záznamů pak často slouží reklamní identifikátor mobilního telefonu.

Informace o chování pak skrze reklamní burzu proudí k inzerentům, kteří se účastní automatizovaných dražeb reklamního prostoru. Zjednodušeně řečeno, před zobrazením webové reklamy systém sdělí inzerentovi, o jakého uživatele jde, a ten se rozhodne, kolik je ochoten za zobrazení reklamy právě tomuto člověku zaplatit. Tato rozhodnutí se provádí automatizovaně ve zlomcích sekundy.

Reklamní systém je ale možné i zneužít. Stačí se vydávat za zájemce o nákup reklamního prostoru a jednotlivé nabídky s informacemi o uživatelích ukládat. Taková data pak přeprodávala zájemcům právě Gravy Analytics.

Součástí informací, které reklamní burza prospektivním inzerentům poskytuje, je i IP adresa jejich připojení k internetu. Z ní je možné přibližně odvodit, kde se v danou chvíli uživatel nachází, a to obvykle s přesností na úroveň města.

Krátce po oznámení úniku dat několik bezpečnostních výzkumníků publikovalo seznamy aplikací, které podle uniklé databáze ke sběru informací o lidech sloužily. Server iROZHLAS.cz mezi nimi identifikoval i tři, které vznikají v Česku. Společné mají to, že jejich tvůrci nevěděli, kde data o jejich uživatelích končí.

Česká stopa

První z nich byly Kalorické Tabulky, která má v Google Play více než 10 milionů stažení. „Rozhodně data jednotlivých uživatelů neprodáváme,“ napsal serveru iROZHLAS.cz Tomáš Pětivoký, šéf společnosti Dine4Fit, která za aplikací stojí. Jak ale připustil, „abychom mohli pokrýt náklady na provoz aplikace zcela zdarma, zobrazuje se v ní reklama“, se kterou uživatelé v aplikaci vyjadřují souhlas. Samotné podmínky se o reklamě zmiňují, o jejím možném využití pro sledování pohybu ale nikoli.

Podle Pětivokého společnost situaci prozkoumá a v případě, že zjistí zneužití dat svých uživatelů, reklamní spolupráci ukončí.

Možné využití reklamních systémů pro sledování překvapilo i Jindřicha Housku, který vyvíjí další z českých aplikací na seznamu zdrojů dat Gravy Analytics. Jde o vědeckou kalkulačku HiPER, která rovněž ukazuje uživatelům reklamy, a to od několik přeprodejců reklamního prostoru, včetně společnosti Google. Jaké částky si takovou spoluprací vydělá, nechtěl tvůrce aplikace uvádět.

Samotná kalkulačka nepracuje s přesnou polohou uživatelů například z GPS mobilního telefonu, ale jak Houska připustil, některý z reklamních systémů „může pouze odhadnout polohu např. podle IP adresy.“

V aplikaci nicméně odkazuje na podmínky ochrany soukromí jednotlivých reklamních společností, které reklamu v aplikaci zobrazují. Některé z nich si pak podle vývojáře vyhrazují „právo sdílet informace s dalšími partnery, kteří jí poskytují reklamní obsah, analytické služby“ a podobně.

To ilustruje, jakým způsobem přeprodejci informací o uživatelích operují: v reklamních sítích je zapojena celá řada společností, o jejichž existenci většina veřejnosti neví. Není tedy prakticky možné vystopovat, jak přesně se informace dostaly k jejich kupcům.

Třetí z aplikací s českým pozadím byla hra Annelids od Michala Srba, která má dle Google Play přes 50 milionů stažení. Ani ta dle slov jejího tvůrce úmyslně nesbírá a neprodává data o svých uživatelích, stejně jako dvě předchozí ale zobrazuje reklamy. „Používám jen Admob a Unity Ads,“ jmenoval pro server iROZHLAS.cz její tvůrce dvojici reklamních systémů. Oba podle něj mají řadu dodavatelů reklam. „Možná je ten Gravy Analytics jeden z nich? Nikdy jsem o nich neslyšel,“ dodal Srb.

Podobně jako čeští tvůrci reagovaly na dotazy ohledně sledování i zahraniční společnosti. Populární seznamka Tinder napsala serveru 404 Media, že „bere bezpečnost a soukromí svých uživatelů vážně“ a že se společností Gravy Analytics nikdy nespolupracovala. Ve vyjádření ale potvrdila, že aplikace zobrazuje reklamy.

Řada médií ve spojených státech v minulosti informovala o tom, jak data o poloze sebraná z mobilních telefonů a aplikací využívají například americká FBI nebo daňová služba. Zdejší Federální komise pro obchod (FTC) už některým přepodejcům prodej dat o Američanech zakázala, americké ministerstvo spravedlnosti pak s ohledem na národní bezpečnost zakázalo předávání takových informací do některých států, jako jsou Rusko, Čína nebo Severní Korea.

V Evropě upravuje zpracovávání osobních údajů nařízení GDPR. Navzdory tomu ale ke sběru a prodeji informací o chování a pohybu lidí často dochází.