A empresa Unacast, dona da broker (atacadista) de dados de localização Gravy Analytics, informou à Autoridade de Proteção de Dados da Noruega um ataque cibernético que resultou na exposição de arquivos de sua propriedade. A violação, que envolveu o uso indevido de uma chave de acesso ao ambiente de armazenamento em nuvem da Amazon Web Services (AWS), foi divulgada após um hacker informar a empresa sobre o incidente, em 4 de janeiro.
Leia também
FBI remove 4.258 instalações de malware chinês
DB injection rouba cartões em lojas WordPress
Embora a extensão do roubo de dados ainda esteja sendo investigada, suspeita-se que informações históricas de localização de milhões de usuários de smartphones tenham sido comprometidas. Esses dados parecem ter origem em milhares de aplicativos, entre os quais Tinder, Grindr, Candy Crush e também aplicativos religiosos ou de acompanhamento de gravidez, que fornecem informações para a Gravy Analytics.
A empresa afirmou que já protegeu seu ambiente AWS após o ataque, mas tem um histórico de práticas questionáveis: em dezembro passado, a Federal Trade Commission (FTC) dos EUA acusou a Gravy e sua subsidiária Venntel de violarem o FTC Act ao vender dados de localização não anonimizados sem o consentimento dos usuários. Segundo a FTC, as empresas coletam e processam diariamente mais de 17 bilhões de sinais de aproximadamente um bilhão de dispositivos móveis. Além disso, foi alegado que as duas empresas permitiram o uso desses dados por agências governamentais e de aplicação da lei sem o devido mandato legal.
O incidente ressalta preocupações crescentes sobre o uso ético e a segurança de dados de localização coletados de aplicativos. Embora a Gravy Analytics e a Venntel afirmem conformidade com regulamentações, o ataque expõe vulnerabilidades e levanta questões sobre a capacidade das corretoras de dados de proteger informações sensíveis. A investigação continua, e o impacto completo da violação ainda não foi determinado.
