Una della pratiche più comuni tra gli hacker è quella di guadagnare accesso a database di aziende enormi, rubare una grande mole di dati, per poi chiedere un riscatto all'azienda stessa oppure vendere i dati a terzi.
È proprio quello che è successo a Gravy Analytics qualche settimana fa, il problema è che il breach di dati ha svelato qualcosa di molto più grande.
Per anni Gravy ha lavorato indisturbata, raccogliendo e analizzando dati provenienti da dispositivi mobile. Questi dati venivano poi trasformati in report dettagliati su abitudini, preferenze e spostamenti delle persone, e venduti a terzi.
Fondata nel 2011, è cresciuta così tanto da unirsi alla norvegese Unacast nel 2023, con l'intento dichiarato di creare "una delle collezioni di dati sulla posizione degli utenti più grande al mondo".
In Norvegia, come in molti altri stati, la legge vuole che tu comunichi tempestivamente alle forze governative se sei stato o meno vittima di un attacco hacker, cosa che Unacast ha fatto l'11 Gennaio 2025.
Una settimana prima, il 4 gennaio, è spuntato un post su un forum di hacker russi ad accesso chiuso, in cui sono stati pubblicati una parte dei dati rubati, con posizioni raccolte da app come Tinder, Grindr, FlightRadar, Candy Crush, app di fitness e addirittura di preghiera come Muslim Pro.
Si parla di 30 milioni di posizioni di utenti localizzati in Europa, Stati Uniti, Russia e anche Città del Vaticano, che comprendono anche zone offlimit come la Casa Bianca e il Cremlino. Tutte nelle mani di Gravy.
Il problema è che nessuna di queste app ha mai dichiarato di rivendere le posizioni degli utenti a Gravy Analytics, quindi com'è possibile che il gigante dei dati abbia acquisito queste informazioni?
Lo ha fatto tramite i banner pubblicitari, all'insaputa dei proprietari dell'app. In particolare attraverso un processo noto come real-time bidding, cioè un sistema che visualizza un determinato annuncio pubblicitario sulla base di un'asta della durata di millisecondi.
Durante questa asta quasi istantanea, tutti gli inserzionisti che partecipano all'offerta possono vedere alcune informazioni sul tuo dispositivo, come il produttore, il tipo di modello, gli indirizzi IP (che possono essere utilizzati per dedurre la posizione approssimativa di una persona) e, in alcuni casi, dati sulla posizione più precisi, se forniti dall'utente che sta utilizzando l'app.
Quindi Gravy avrebbe memorizzato questi dati tramite i banner pubblicitari che apparivano su queste app famose, all'insaputa sia degli utenti che degli sviluppatori delle app. In realtà, secondo un'indagine di 404 Media, non è ancora chiaro se Gravy Analytics abbia raccolto questi dati in prima persona o li abbia comprati da un altro broker. Ciò che è chiaro è che il metodo utilizzato è stato quello.
In un comunicato di mesi fa, Venntel, una sussidiaria di Gravy Analytics, ha dichiarato di collaborare e di aver venduto dati di posizione ad aziende e agenzie governative statunitensi fra cui la DEA e l'FBI. In seguito al comunicato e ad un'indagine mirata, la FTC (Federal Trade Commission) ha vietato a Gravy Analytics di raccogliere e vendere dati negli Stati Uniti. Secondo la denuncia della FTC, Gravy ha affermato di "raccogliere, elaborare e gestire" più di 17 miliardi di segnali provenienti dagli smartphone delle persone ogni giorno.
Ad oggi, venerdì 24 gennaio, non risultano ancora specifiche azioni legali nei confronti di Gravy Analytics relative alla raccolta di dati tramite real-time bidding e il broker di dati si sta rifiutando di parlare con i giornalisti.
Dopo la pubblicazione dei dati sul forum russo, il post è stato cancellato, ma non prima che una serie di esperti di sicurezza potessero analizzare il set. Tra questi, Baptiste Robert, CEO della società francese di dati sulla privacy e sulla posizione Predicta Lab, ha scaricato i dati campione e ha detto che il materiale trapelato sembra mostrare persone tracciate in circa 30 milioni di località in tutto il mondo. I dati non identificano esplicitamente le persone per nome né includono altre informazioni identificative; invece, seguono la pratica del settore dei broker di dati di assegnare alle persone stringhe di numeri come pseudonimi.
Sebbene i broker di dati affermino che l'identificativo numerico garantisca un certo livello di anonimato agli utenti tracciati, numerosi ricercatori hanno dimostrato che non è così, e che è facile per loro ricostruire l'identità della persona incrociando quei dati con altri database.
Nel frattempo, diverse aziende che collaboravano con Gravy Analytics hanno deciso di interrompere i contratti, temendo ripercussioni sulla loro reputazione.
Questo evento è uno degli scandali sulla privacy più grossi dell'ultimo anno e rappresenta molto bene la situazione che viviamo oggi. L'industria dei dati risale al XIX secolo, in Italia ad esempio la Direzione della Statistica Generale fu istituita nel 1861, ma la vendita a scopi commerciali è nata intorno agli anni '70, con aziende come Acxiom.
Oggi, il machine learning, l'intelligenza artificiale e la disponibilità su scala mondiale di smartphone collegati a internet, ha aumentato esponenzialmente la mole di dati, e la mole di problemi. Sebbene il GDPR in Europa cerchi di attutire i danni, spesso la soluzione si riduce alla firma di termini e condizioni d'uso che non legge nessuno, quindi ad una presa cieca di responsabilità piuttosto che ad una reale consapevolezza.
