Una importante empresa que rastrea la ubicación de los estadounidenses a través de datos de teléfonos inteligentes fue pirateada por ciberdelincuentes rusos para pedir un rescate, según dos investigadores de ciberseguridad y la persona que publicó los archivos de gran tamaño que se cree que fueron pirateados.
El incidente es una de las mayores violaciones conocidas de varias controvertidas empresas estadounidenses que venden datos de ubicación de personas. una mina de oro para los anunciantes porque puede usarse para mapear la vida de una persona a gran escala, generalmente sin su conocimiento.
Gravy Analytics y su filial Venntel, fue cobrado el mes pasado La recopilación y venta ilegal de datos de ubicación de estadounidenses por parte de la Comisión Federal de Comercio sin su conocimiento o consentimiento legal apropiado. Según la FTC, algunas de las personas que Gravy rastreó fueron a lugares sensibles como edificios gubernamentales, clínicas de salud y lugares de culto.
Los teléfonos inteligentes generan datos confidenciales a través de la forma en que se conectan a torres de telefonía celular y proveedores de Internet inalámbrico, así como a través de aplicaciones, particularmente aplicaciones de terceros que requieren datos de ubicación. La ubicuidad de los teléfonos inteligentes en la vida cotidiana ha impulsado una industria de empresas oscuras que compran, empaquetan y venden datos. Si bien esta información generalmente se divulga a los proveedores, también se vende a los gobiernos.
El sitio web de Gravy ha estado inactivo desde al menos el martes. No se pudieron entregar los correos electrónicos a Unacast, la empresa matriz de Venntel y Gravy. Varios ejecutivos de la empresa contactados por NBC News no respondieron a las solicitudes de comentarios.
Según la denuncia de la FTC, Gravy afirmó “recopilar, procesar y monitorear” más de 17 mil millones de señales de los teléfonos inteligentes de las personas todos los días.
Venntel vende datos de Gravy sobre la ubicación de las personas para ayudarlas a identificar lo que la industria de la publicidad online llama “patrones de vida”. Los materiales de marketing de las empresas dan ejemplos de cómo identificar la “cama, el trabajo y otras visitas del USG” de un objetivo. [United States Government] edificios” y puede mostrar dónde están las personas: “casa, gimnasio, escuela nocturna, etc.”, decía la denuncia.
El sábado, un hacker de un popular foro ruso sobre cibercrimen llamado XSS afirmó haber pirateado Gravy. Publicó capturas de pantalla y subió 17 terabytes de datos como prueba. El hacker, escribiendo en ruso, afirmó que subirían más a menos que Gravy pagara una tarifa no especificada.
Desde entonces, los archivos fueron eliminados, pero no antes de ser descargados y compartidos entre investigadores de ciberseguridad, dos de los cuales dijeron que los analizaron y descubrieron que eran auténticos.
John Hammond, topógrafo Empresa de seguridad cibernética HuntressAl examinar los datos, le dijo a NBC News que encontró una base de datos de más de 300.000 direcciones de correo electrónico de personas. NBC News examinó algunas de esas direcciones a través del sitio web HaveIBeenPwned, que verificó las direcciones de correo electrónico para ver si habían estado expuestas en violaciones anteriores y descubrió que algunas de las direcciones en el presunto volcado de Gravy no formaban parte de otras violaciones más importantes.
“Las organizaciones cuya única función es recopilar e integrar datos sin duda se convertirán en objetivos atractivos para los actores de amenazas. “Si bien no conocemos su método inicial de acceso o ‘cómo entraron los piratas informáticos’, está claro que estaban lo suficientemente comprometidos como para poder acceder a ese tipo de información”, dijo Hammond a NBC News.
Baptiste Robert, director ejecutivo de la empresa francesa de datos de ubicación y privacidad Predicta Lab, descargó los datos de muestra y le dijo a NBC News que el material filtrado muestra a personas rastreadas en casi 30 millones de ubicaciones en todo el mundo. Dijo que los datos no identifican específicamente a las personas por su nombre ni contienen ninguna otra información de identificación, sino que utilizan una serie de números utilizados por la industria del corredor de datos como seudónimos para las personas que siguen la práctica de marcado, dijo.
Aunque los intermediarios de datos afirman que el uso de alias de ID de anuncios protege su privacidad, Los investigadores han demostrado varias veces. esta información de ubicación puede facilitar la identificación de personas. Si los datos de seguimiento de un teléfono móvil en particular muestran que una persona pasa la mayor parte de sus noches en una dirección concreta, probablemente sea propietario de esa casa o la alquile.
A pesar de los defensores de la privacidad e incluso de la administración Biden, Estados Unidos carece de una ley federal de privacidad integral. llamando a uno. El año pasado, investigadores de la Universidad de Duke descubrieron que los intermediarios de datos vendían ampliamente los datos sobre el personal militar estadounidense, incluidos los datos de ubicación.
En 2023, la Oficina del Director de Inteligencia Nacional descubrió que las agencias de inteligencia estadounidenses, que tienen restricciones a la vigilancia directa de los estadounidenses, a menudo compran información sobre los estadounidenses a intermediarios y tienen pocas instrucciones o supervisión determinada en el proceso.
