2人のサイバーセキュリティ研究者と、ハッキングされたとされる大量のファイルを投稿した人物によると、スマートフォンのデータを通じてアメリカ人の位置を追跡している最大手企業の1社が、身代金と引き換えにロシアのサイバー犯罪者によってハッキングされたという。
この事件は、個人の位置データを販売する物議を醸している数社の米国企業に対する既知の情報漏えいとしては最大規模の一つとなるだろう。 広告主にとっての宝の山 なぜなら、通常は本人が知らないうちに、その人の人生を広範囲に地図化するために使用できるからです。
Gravy Analytics 社とその子会社 Venntel 社は、 先月告発されました アメリカ人の位置データを、アメリカ人の知らないうちに、または適切な法的同意を得ずに違法に収集および販売する行為について、連邦取引委員会によって禁止されました。 FTCによると、グレイビー氏が追跡した一部の人々は、政府の建物、診療所、礼拝所などの機密性の高い場所への出入りが監視されていたという。
スマートフォンは、携帯電話の基地局やワイヤレス インターネット プロバイダーへの接続方法と、アプリ、特に位置データを必要とするサードパーティ製アプリを通じて、大量のデータを作成します。日常生活におけるスマートフォンの普及により、データを購入、パッケージ化、販売する影の企業の業界が活発化しています。通常、そのデータはマーケティング担当者に宣伝されますが、政府にも販売されます。
グレイビーのウェブサイトは少なくとも火曜日からダウンしている。 Venntel と Gravy の親会社である Unacast への電子メールは配信できませんでした。 NBCニュースが問い合わせた同社幹部数人はコメントの要請に応じなかった。
FTCの訴状によると、グレイビーは人々のスマートフォンから毎日170億件以上の信号を「収集、処理、管理」していると主張している。
Venntel は、オンライン広告業界が「生活パターン」と呼ぶものを確立するために、人々の位置情報に関する Gravy データを販売しています。企業のマーケティング資料には、ターゲットの「就寝場所、勤務場所、他の USG への訪問」を特定する例が示されています。 [United States Government] 訴状には、「建物」、「自宅、ジム、夜間学校など」の人々の居場所を示すことができると書かれている。
土曜日、XSSと呼ばれるロシアの人気サイバー犯罪フォーラムのハッカーが、Gravyをハッキングしたと主張した。スクリーンショットを投稿し、証拠として膨大な量の 17 テラバイトの情報をアップロードしました。ハッカーはロシア語で、グレイビーが不特定の身代金を支払わなければさらにアップロードすると主張した。
これらのファイルはその後削除されたが、その後ダウンロードされてサイバーセキュリティ研究者間で共有され、そのうちの2人がファイルを分析した結果、本物である可能性が高いと判明したと述べた。
ジョン・ハモンド、研究者 サイバーセキュリティ企業ハントレス氏はNBCニュースに対し、データを整理したところ、30万人を超える個人の電子メールアドレスのデータベースが見つかったと語った。 NBC ニュースは、電子メール アドレスが以前の侵害で暴露されたかどうかを確認する Web サイト、HaveIBeenPwned を通じてこれらのアドレスの一部を調査し、グレービー ダンプとされるアドレスの一部が他の重大な侵害に含まれていないことを発見しました。
「データの収集と集約を唯一の使命とする組織は、間違いなく脅威アクターにとって魅力的な標的となるでしょう。彼らの最初のアクセス方法や「ハッカーがどうやって侵入したのか」は分かりませんが、彼らがこの種のデータに影響を与えるのに十分以上のセキュリティを侵害したことは明らかです」とハモンド氏はNBCニュースに語った。
フランスのプライバシーおよび位置情報データ会社プレディクタ・ラボの最高経営責任者(CEO)バティスト・ロベール氏はサンプルデータをダウンロードし、流出した資料には世界中の約3,000万の場所で人々が追跡されていることが示されているようだとNBCニュースに語った。このデータには名前で個人を明示的に特定したり、その他の識別情報が含まれているわけではなく、代わりに個人に一連の数字を仮名として割り当てるというデータブローカー業界の慣行に従っていると同氏は述べた。
データブローカーは、広告 ID の仮名を使用することでプライバシーが保護されると主張していますが、 研究者らは繰り返し示してきた 位置データにより個人の特定が容易になる可能性があること。たとえば、特定の携帯電話を追跡するデータから、ほとんどの夜を特定の住所で過ごす人が示されている場合、その人はその家を所有しているか借りている可能性があります。
プライバシー擁護派やバイデン政権にもかかわらず、米国には包括的な連邦プライバシー法がない。 1 つを呼び出した。昨年、デューク大学の研究者らは、位置データを含む米国軍人のデータがデータブローカーによって広く販売されていることを発見した。
2023年、国家情報長官室は、アメリカ人を直接監視することに制限を設けているアメリカ情報機関がブローカーからアメリカ人に関するデータを購入することが多く、そのプロセスにおいてガイドラインや監督がほとんどないことを発見した。
