Une importante faille chez le courtier de données Gravy Analytics semble avoir divulgué les données de localisation précises de millions de personnes. Il s’agit entre autres d’utilisateurs de Candy Crush et Tinder.
Gravy Analytics est ce qu’on appelle un ‘location broker’, une entreprise qui collecte les données d’utilisateurs d’iPhone et d’Android et les vend à des sociétés de marketing, entre autres. Un hacker prétend avoir pénétré dans l’entreprise et y avoir dérobé des millions de données. L’agresseur a mis des exemples de son butin en ligne sur un forum pour cybercriminels et tente ainsi de vendre l’ensemble de son vol. On ne sait pas encore exactement quelle est son ampleur ni combien de personnes ont vu leurs données de localisation ainsi divulguées. L’attaquant prétend disposer de plusieurs téraoctets d’informations, ainsi que des données de localisation historiques de millions de personnes.
Le piratage semble bien réel. La société mère Unacast avait signalé l’attaque au gouvernement norvégien le 11 janvier déjà. Unacast avait racheté Gravy Analytics l’année dernière pour constituer ‘l’une des plus vastes’ collections de données de localisation au monde. Les entreprises traceraient ainsi chaque jour plus d’un milliard d’appareils sur la Terre, souvent à l’insu des propriétaires de ces derniers.
Problèmes de confidentialité
Les courtiers en données existent depuis pas mal de temps déjà, mais ils représentent depuis aussi longtemps une épine dans le pied des groupes de protection de la vie privée. Cette fuite démontre une fois de plus combien de problèmes un trésor de données aussi énorme peut causer, s’il tombe entre de mauvaises mains. Selon 404media, le site d’information qui a été le premier à découvrir le piratage, les fichiers piratés contiennent non seulement des données de localisation provenant de jeux populaires tels que Candy Crush, mais également des données provenant d’applis de rencontres, d’applis de suivi de grossesse et d’applis religieuses.
Toujours selon 404media, ces données sont collectées via le flux publicitaire en ligne. Il ne s’agirait donc pas du traçage intégré par les développeurs des applis. Cela peut également signifier qu’aucune autorisation explicite n’a été accordée pour la collecte de ces données.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici