Hackeři ukradli data z firmy, která prodává informace o poloze lidí. Sbírala je i z českých aplikací

Společnost Gravy Analytics přeprodává informace o tom, kde se pohybují jednotliví lidé. Mezi její klienty patří reklamní společnosti i bezpečnostní složky. Informace posbírané hlavně z mobilních telefonů se nyní podařilo odcizit hackerům, kteří je nabízí k prodeji.

internet Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Mobilní telefon (ilustrační foto)

Mobilní telefon (ilustrační foto) | Foto: Zuzana Jarolímková | Zdroj: iROZHLAS.cz

Informace o tom, kde se pohybují uživatelé a uživatelky seznamky Tinder, sportovní aplikace MyFitnessPal a řady dalších služeb včetně těch českých, sbírala americká firma Gravy Analytics. Používala k tomu systémy pro zobrazování reklamy na mobilních telefonech. Informace pak prodávala reklamním společnostem i bezpečnostním složkám.

Při kyberútoku na začátku letošního roku se neznámým pachatelům podařilo odcizit databázi se záznamem pohybu milionů lidí, zločinci následně data nabídli k prodeji na ruském kyberkriminálním diskusním fóru.

Firma potvrdila únik dat v oznámení, které její dceřiná společnost Unacast podala k norskému úřadu pro ochranu osobních údajů. Únik dat oznámila i britským úřadům.

V balíku mělo být asi 30 milionů odcizených záznamů o tom, kde se lidé nacházejí. K jejich sběru společnost využívala systémy pro zobrazování online reklamy, konkrétně mechanismus známý pod názvem Real Time Bidding. Ten inzerentům umožňuje zobrazovat lidem webovou reklamu podle jejich dřívějšího chování online.

Reklamní systémy sbírají informace o tom, jaké stránky lidé navštěvují a případně i na jakých místech se pohybují. K propojení jednotlivých záznamů pak často slouží reklamní identifikátor mobilního telefonu.

Jak ztížit sledování telefonu

Sběr informací reklamními systémy je na mobilních telefonech možné omezit tím, že zakážete aplikacím číst reklamní identifikátor, funkci najdete v nastavení telefonů od společnosti Apple, i těch s operačním systémem Android (u něj bude postup na konkrétních telefonech mírně odlišný).

Aplikace i webové stránky se ale mohou o sledování uživatelů i dál pokoušet, částečně může pomoci blokování reklam v internetovém prohlížeči nebo na úrovni připojení k internetu.

Informace o chování pak skrze reklamní burzu proudí k inzerentům, kteří se účastní automatizovaných dražeb reklamního prostoru. Zjednodušeně řečeno, před zobrazením webové reklamy systém sdělí inzerentovi, o jakého uživatele jde, a ten se rozhodne, kolik je ochoten za zobrazení reklamy právě tomuto člověku zaplatit. Tato rozhodnutí se provádí automatizovaně ve zlomcích sekundy.

Reklamní systém je ale možné i zneužít. Stačí se vydávat za zájemce o nákup reklamního prostoru a jednotlivé nabídky s informacemi o uživatelích ukládat. Taková data pak přeprodávala zájemcům právě Gravy Analytics.

Součástí informací, které reklamní burza prospektivním inzerentům poskytuje, je i IP adresa jejich připojení k internetu. Z ní je možné přibližně odvodit, kde se v danou chvíli uživatel nachází, a to obvykle s přesností na úroveň města.

Krátce po oznámení úniku dat několik bezpečnostních výzkumníků publikovalo seznamy aplikací, které podle uniklé databáze ke sběru informací o lidech sloužily. Server iROZHLAS.cz mezi nimi identifikoval i tři, které vznikají v Česku. Společné mají to, že jejich tvůrci nevěděli, kde data o jejich uživatelích končí.

Česká stopa

První z nich byly Kalorické Tabulky, která má v Google Play více než 10 milionů stažení. „Rozhodně data jednotlivých uživatelů neprodáváme,“ napsal serveru iROZHLAS.cz Tomáš Pětivoký, šéf společnosti Dine4Fit, která za aplikací stojí. Jak ale připustil, „abychom mohli pokrýt náklady na provoz aplikace zcela zdarma, zobrazuje se v ní reklama“, se kterou uživatelé v aplikaci vyjadřují souhlas. Samotné podmínky se o reklamě zmiňují, o jejím možném využití pro sledování pohybu ale nikoli.

Digitální občanka omezila množství dat, které sbírá. Anonymní jako ta plastová ale nebude

Číst článek

Podle Pětivokého společnost situaci prozkoumá a v případě, že zjistí zneužití dat svých uživatelů, reklamní spolupráci ukončí.

Možné využití reklamních systémů pro sledování překvapilo i Jindřicha Housku, který vyvíjí další z českých aplikací na seznamu zdrojů dat Gravy Analytics. Jde o vědeckou kalkulačku HiPER, která rovněž ukazuje uživatelům reklamy, a to od několik přeprodejců reklamního prostoru, včetně společnosti Google. Jaké částky si takovou spoluprací vydělá, nechtěl tvůrce aplikace uvádět.

Samotná kalkulačka nepracuje s přesnou polohou uživatelů například z GPS mobilního telefonu, ale jak Houska připustil, některý z reklamních systémů „může pouze odhadnout polohu např. podle IP adresy.“

Sledování hostů v hotelích kritizuje Úřad pro ochranu osobních údajů. Ministerstvo si chce ‚vyjasnit detaily‘

Číst článek

V aplikaci nicméně odkazuje na podmínky ochrany soukromí jednotlivých reklamních společností, které reklamu v aplikaci zobrazují. Některé z nich si pak podle vývojáře vyhrazují „právo sdílet informace s dalšími partnery, kteří jí poskytují reklamní obsah, analytické služby“ a podobně.

To ilustruje, jakým způsobem přeprodejci informací o uživatelích operují: v reklamních sítích je zapojena celá řada společností, o jejichž existenci většina veřejnosti neví. Není tedy prakticky možné vystopovat, jak přesně se informace dostaly k jejich kupcům.

Třetí z aplikací s českým pozadím byla hra Annelids od Michala Srba, která má dle Google Play přes 50 milionů stažení. Ani ta dle slov jejího tvůrce úmyslně nesbírá a neprodává data o svých uživatelích, stejně jako dvě předchozí ale zobrazuje reklamy. „Používám jen Admob a Unity Ads,“ jmenoval pro server iROZHLAS.cz její tvůrce dvojici reklamních systémů. Oba podle něj mají řadu dodavatelů reklam. „Možná je ten Gravy Analytics jeden z nich? Nikdy jsem o nich neslyšel,“ dodal Srb.

Avast dostal v Česku pokutu 351 milionů Kč. Dceřiné firmě předal osobní údaje asi 100 milionů uživatelů

Číst článek

Podobně jako čeští tvůrci reagovaly na dotazy ohledně sledování i zahraniční společnosti. Populární seznamka Tinder napsala serveru 404 Media, že „bere bezpečnost a soukromí svých uživatelů vážně“ a že se společností Gravy Analytics nikdy nespolupracovala. Ve vyjádření ale potvrdila, že aplikace zobrazuje reklamy.

Řada médií ve spojených státech v minulosti informovala o tom, jak data o poloze sebraná z mobilních telefonů a aplikací využívají například americká FBI nebo daňová služba. Zdejší Federální komise pro obchod (FTC) už některým přepodejcům prodej dat o Američanech zakázala, americké ministerstvo spravedlnosti pak s ohledem na národní bezpečnost zakázalo předávání takových informací do některých států, jako jsou Rusko, Čína nebo Severní Korea.

V Evropě upravuje zpracovávání osobních údajů nařízení GDPR. Navzdory tomu ale ke sběru a prodeji informací o chování a pohybu lidí často dochází.

Jan Cibulka Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme