Een groot lek bij databroker Gravy Analytics lijkt de precieze locatiegegevens te hebben gelekt van miljoenen gebruikers. Het gaat om gebruikers van onder meer Candy Crush en Tinder.

Gravy Analytics is een zogeheten ‘location broker’, een bedrijf dat data verzamelt van iPhone- en Android-gebruikers, en die gegevens doorverkoopt aan onder meer marketingbedrijven. Een hacker claimt het bedrijf te zijn binnengedrongen en miljoenen van de gegevens te hebben buitgemaakt. De aanvaller heeft voorbeelden van zijn buit online gezet op een forum voor cybercriminelen en probeert de volledige set te verkopen. Hoe groot die is, en hoeveel mensen hun locatiedata gelekt zagen, is momenteel niet duidelijk. De aanvaller claimt meerdere terabytes aan informatie te hebben, en de historische locatiedata van miljoenen mensen.

De hack lijkt alvast echt. Moederbedrijf Unacast meldde de aanval op 11 januari aan de Noorse overheid. Unacast nam Gravy Analytics vorig jaar over om ‘een van de grootste’ verzamelingen aan locatiedata ter wereld te bouwen. De bedrijven zouden dagelijks meer aan een miljard toestellen wereldwijd tracken, vaak zonder dat de eigenaars van die toestellen daar veel weet van hebben.

Privacyproblemen

Databrokers bestaan al lang maar zijn al net zo lang een doorn in het oog van privacygroepen. Met dit lek wordt nog maar eens duidelijk hoeveel problemen zo’n gigantische schat aan gegevens met zich mee kan brengen als ze in de verkeerde handen terecht komt. Volgens 404media, de nieuwssite die de hack eerst opmerkte, zitten er bij de gehackte files niet alleen locatiedata van populaire games als Candy Crush, maar ook gegevens van dating apps, apps die de zwangerschap tracken en religieuze apps.

Nog volgens 404media gebeurt de verzameling van deze data via de ‘bid stream’ van online advertising. Het zou dus geen tracking zijn die door de ontwikkelaars van de apps werd ingebouwd. Dat betekent mogelijk ook dat er geen expliciete toestemming is gegeven voor het verzamelen van die gegevens.