La società Gravy Analytics è stata vittima di una violazione di dati da parte di alcuni criminali informatici, e la cosa assume una maggiore gravità considerando la tipologia di compagnia: stiamo infatti parlando di un’azienda che è entrata in possesso di milioni di dati di localizzazione degli utenti in tutto il mondo e che quindi dispone di una quantità notevole di dati sensibili. Una situazione preoccupante, che coinvolge alcune delle applicazioni e dei servizi più utilizzati sui nostri smartphone (Android e non).

Gravy Analytics hackerata: grave violazione dei dati

Criminali informatici russi hanno hackerato Gravy Analytics, una delle più grandi aziende specializzata nel tracciamento dei dati. Si tratta di una delle più grandi violazioni note, dato che riguarda una delle controverse compagnie che si occupano della vendita dei dati sulla posizione degli utenti a terze parti (una vera miniera d’oro per gli inserzionisti e non solo).

Le informazioni riguardo la violazione arrivano dal forum russo sulla criminalità informatica XSS: qui sono stati condivisi alcuni screenshot dove si potevano leggere le minacce rivolte all’azienda stessa e un campione dei dati in loro possesso. Questi includevano posizioni di smartphone accompagnate da orari specifici. In più, tra le informazioni sembrerebbero esserci anche i nomi di alcuni dei Paesi nei quali sarebbero stati raccolti i dati, che includono Stati Uniti, Messico, Paesi Bassi e Marocco, e di alcune delle aziende a cui i dati sarebbero stati venduti nel tempo da Gravy Analytics (inclusi Apple, Uber e Comcast, giusto per citarne qualcuno). Si tratta dunque di dati sensibili che potrebbero compromettere la sicurezza di milioni di persone e di moltissime aziende.

La situazione assume toni ancora più gravi considerando che la stessa Gravy Analytics si trovava in una situazione controversa: proprio il mese scorso la Federal Trade Commission aveva accusato la società e la sua sussidiaria Venntel di aver raccolto e venduto illegalmente i dati sulla posizione degli utenti statunitensi senza che ne fossero a conoscenza o senza aver ottenuto il consenso legale appropriato.

Parliamo della raccolta, dell’elaborazione e della cura di più di 17 miliardi di segnali dagli smartphone delle persone ogni giorno. Secondo la FTC, alcune delle persone sono state anche monitorate mentre entravano in luoghi sensibili come edifici governativi, cliniche sanitarie e luoghi di culto. L’esposizione di dati simili solleva preoccupazioni per la privacy personale, ma anche per i rischi associati come possibili ricatti, stalking e addirittura spionaggio: si tratta dopotutto di dati che includono coordinate GPS precise, indirizzi IP e abitudini personali, che potrebbero rendere gli utenti in qualche modo vulnerabili.

Allo stato attuale il sito ufficiale di Gravy Analytics risulta non raggiungibile, e l’azienda ha preferito non rilasciare dichiarazioni. Come segnalato però dalla NBC, l’emittente statale norvegese NRK ha ottenuto e pubblicato una notifica privata della violazione che Gravy e Unacast (la società madre) hanno inviato all’autorità norvegese per la protezione dei dati.

Alcune delle app coinvolte sono molto popolari

Ma quali sono le app coinvolte? Il database sottratto contiene informazioni sui dispositivi mobili e su tante applicazioni, alcune delle quali tra le più utilizzate su Android e iOS. Troviamo ad esempio Microsoft 365, Yahoo Mail, Tinder, Grindr e MyFitnessPal, ma anche popolarissimi giochi come Candy Crush, Temple Run, Subway Surfers e Call of Duty: Mobile. Visto che gran parte della raccolta di dati avviene attraverso l’ecosistema pubblicitario, e non tramite codice sviluppato dagli stessi creatori delle app, è possibile che questa avvenga all’insaputa degli utenti o degli stessi sviluppatori.

La vicenda è in divenire e avrà sicuramente degli strascichi nel mondo tech: continuate a seguirci perché torneremo sull’argomento in caso di nuovi sviluppi. Nel frattempo possiamo consigliarvi di controllare sempre i permessi concessi alle varie applicazioni, magari disattivando i servizi di localizzazione quando non strettamente necessari.