Beberapa aplikasi paling populer di dunia kemungkinan besar sedang dimanfaatkan oleh anggota nakal dari industri periklanan untuk mengumpulkan data lokasi sensitif secara massal, dengan data tersebut berakhir dengan perusahaan data lokasi yang anak perusahaannya sebelumnya telah menjual data lokasi global kepada penegak hukum AS.
Ribuan aplikasi, termasuk dalam file yang diretas dari perusahaan data lokasi Gravy Analytics, mencakup segala hal mulai dari permainan seperti Candy Crush dan aplikasi kencan seperti Tinder hingga aplikasi pelacakan kehamilan dan doa agama di kedua platform Android dan iOS. Karena sebagian besar pengumpulan data ini terjadi melalui ekosistem periklanan—bukan kode yang dikembangkan oleh pembuat aplikasi sendiri—pengumpulan data ini kemungkinan besar terjadi tanpa pengetahuan pengguna atau bahkan pengembang aplikasi.
“Untuk pertama kalinya secara publik, kita tampaknya memiliki bukti bahwa salah satu pialang data terbesar yang menjual kepada klien komersial dan pemerintah tampaknya memperoleh data mereka dari ‘aliran tawaran’ periklanan online,” bukan dari kode yang tertanam dalam aplikasi itu sendiri, kata Zach Edwards, analis ancaman senior di perusahaan keamanan cyber Silent Push dan yang telah mengikuti industri data lokasi dengan cermat, kepada 404 Media setelah meninjau beberapa data.
Data ini memberikan pandangan langka ke dalam dunia penawaran waktu nyata (RTB). Secara historis, perusahaan data lokasi membayar pengembang aplikasi untuk menyertakan bundel kode yang mengumpulkan data lokasi pengguna mereka. Banyak perusahaan beralih untuk mendapatkan informasi lokasi melalui ekosistem periklanan, di mana perusahaan menawar untuk menempatkan iklan di dalam aplikasi. Tetapi efek sampingnya adalah pialang data dapat mendengarkan proses itu dan mengumpulkan lokasi ponsel orang.
“Ini adalah skenario mimpi buruk untuk privasi, karena tidak hanya data pelanggaran ini berisi data yang diambil dari sistem RTB, tetapi ada perusahaan di luar sana yang bertindak seperti madu global, melakukan apa pun yang mereka inginkan dengan setiap data yang datang kepadanya,” kata Edwards.
Termasuk dalam data Gravy yang diretas adalah puluhan juta koordinat telepon seluler perangkat di AS, Rusia, dan Eropa. Beberapa file juga merujuk ke aplikasi di samping setiap data lokasi. 404 Media mengekstrak nama-nama aplikasi tersebut dan membangun daftar aplikasi yang disebutkan.
Daftar tersebut mencakup situs kencan Tinder dan Grindr; permainan besar seperti Candy Crush, Temple Run, Subway Surfers, dan Harry Potter: Puzzles & Spells; aplikasi transit Moovit; My Period Calendar & Tracker, aplikasi pelacakan periode dengan lebih dari 10 juta unduhan; aplikasi kebugaran populer MyFitnessPal; jejaring sosial Tumblr; klien email Yahoo; aplikasi kantor Microsoft 365; dan pelacak penerbangan Flightradar24. Daftar tersebut juga menyebutkan berbagai aplikasi yang berfokus pada agama seperti aplikasi doa Muslim dan Alkitab Kristen, berbagai pelacak kehamilan, dan banyak aplikasi VPN, yang beberapa pengguna mungkin mengunduh, ironisnya, dalam upaya melindungi privasi mereka.
Daftar lengkap dapat ditemukan di sini. Beberapa peneliti keamanan telah menerbitkan daftar aplikasi lain yang termasuk dalam data, dengan berbagai ukuran. Versi kami relatif lebih besar karena mencakup aplikasi Android dan iOS, dan kami memutuskan untuk menyimpan instansi duplikat dari aplikasi yang sama yang memiliki variasi nama yang sedikit agar memudahkan pembaca untuk mencari aplikasi yang mereka instal.
Meskipun kumpulan data ini berasal dari peretasan Gravy, tidak jelas apakah Gravy mengumpulkan data lokasi ini sendiri atau mendapatkannya dari perusahaan lain, atau perusahaan data lokasi mana yang pada akhirnya memiliki atau diizinkan untuk menggunakannya.