È stato definito “un incubo” per la privacy: i dati relativi alla posizione di milioni di utenti raccolti attraverso una singola azienda da app popolarissime come Candy Crush, Microsoft Outlook o Tinder sono stati trafugati. E ora potrebbero essere rilasciati.

Si tratterebbe della “solita” storia di fuga di dati, se non fosse per le sue dimensioni e per il fatto di rivelare un meccanismo di profilazione poco noto, e che mette a rischio la privacy di tutti noi. 

Cominciamo dall’inizio. Tutti più o meno sappiamo che le app raccolgono la nostra posizione, e magari qualcuno un po’ meno disincantato potrebbe avere la consapevolezza che questo dato venga venduto per la pubblicità. 

In realtà la questione è un po’ più complessa, e a volte lo sviluppatore stesso non sa che a chi questi dati vengono venduti. Se infatti solo poco tempo fa le società di dati di localizzazione pagavano gli sviluppatori per includere del codice che permettesse di raccogliere i dati sulla posizione dei loro utenti, ora la situazione è cambiata.

Negli ultimi anni, le aziende hanno iniziato a sfruttare un meccanismo di offerte per inserire annunci all’interno delle app, un processo chiamato real-time bidding (RTB). Questo significa che tutti i dati passano attraverso una singola azienda (magari attraverso consociate) che li raccoglie e poi li mette all’asta.

Una di queste aziende è Gravy Analytics, che normalmente vende le informazioni per la pubblicità o ai governi interessati per la sorveglianza. Anche prima avveniva, ma ora è più subdolo, e si sa che Gravy Analytics ha venduto attraverso una sua consociata questi dati al governo degli Stati Uniti per contrastare l’immigrazione irregolare dal Messico. 

Ma non solo. Secondo un esperto del settore, Zach Edwards, “Questo tipo di dati è stato utilizzato per tracciare le visite alle cliniche per aborti, ai luoghi governativi sensibili e alle posizioni che potrebbero identificare qualità protette sensibili delle persone come il loro orientamento sessuale“.

E la cosa incredibile è che, lo ripetiamo, gli sviluppatori potrebbero anche non saperlo (nella migliore delle ipotesi). Magari utilizzano un servizio come Google Mobile Ads per veicolare le pubblicità, e poi questi dati sono raccolti da Gravy Analytics. Tinder dice di non avere rapporti con questa azienda, e così altri, ed è plausibile. 

Il problema è che Gravy Analytics ha subito un attacco hacker e i dati di migliaia di app sono stati trafugati. Stiamo parlando di dati che riguardano decine di milioni di coordinate di telefoni cellulari di dispositivi negli Stati Uniti, in Russia e in Europa.

I nomi più noti sono Tinder, MyFitnessPal, Grindr, Microsoft Outlook, Candy Crush e MyAnimeList, ma sono tantissime, e includono app Android e iOS. Alcuni di questi file fanno anche riferimento a un’app accanto ai dati sulla posizione: qui potete trovare l’elenco completo raccolto da Wired e 404Media.

Adesso cosa succede? Gravy Analytics ha 24 ore per rispondere o gli hacker hanno minacciato di iniziare a diffondere i dati.

Secondo Edwards, “Questa potrebbe essere la prima grande violazione di un fornitore di dati di localizzazione di massa, ma non sarà l’ultima“. 

I dati raccolti sembrano in gran parte provenienti dagli indirizzi IP, piuttosto che utilizzando i dati GNSS [Global Navigation Satellite System]/GPS. Ad affermarlo, Krzysztof Franaszek, fondatore di Adalytics, dichiarando come la mole di dati suggerirebbe l’acquisizione di dati da una “ingestioni RTB di massa“.

Gravy Analytics non ha confermato, e neanche Google o Apple. Alcune società come Tinder hanno dichiarato di non avere rapporti con Gravy. La casa della mela, come quella di Mountain View, non hanno risposto a richieste di chiarimenti, così come Uncast, l’azienda proprietaria di Gravy Analytics.