今天莫名其妙发现信箱里有个新的信用卡,而原来的卡才更新不久,不明白咋回事,联系了银行,被告知有家处理上万个APP的 location data 公司 Gravy Analytics 被黑客攻击发生了数据泄露,涉及的APP有 PayPal, Spotify, Tinder, Microsoft 365, Microsoft Outlook 等等 Tinder and Grindr; games such as Candy Crush, Temple Run, Subway Surfers, and Harry Potter: Puzzles & Spells; transit app Moovit; My Period Calendar & Tracker, a period-tracking app with more than 10 million downloads; popular fitness app MyFitnessPal; social network Tumblr; Yahoo’s email client; Microsoft’s 365 office app; and flight tracker Flightradar24. The list also mentions multiple religious-focused apps such as Muslim prayer and Christian Bible apps, various pregnancy trackers, and many VPN apps. 一些相关报道: Candy Crush, Tinder, MyFitnessPal: See the Thousands of Apps Hijacked to Spy on Your Location https://www.wired.com/story/gravy-location-data-app-leak-rtb/ 一些世界上最受欢迎的应用程序很可能被广告行业的不法分子利用,大规模收集敏感位置数据,而这些数据最终落入一家位置数据公司的手中,而该公司的子公司此前曾将全球位置数据出售给美国执法部门。 位置数据公司 Gravy Analytics 的黑客文件中包含了数千个应用程序,包括 Android 和 iOS 上的各种应用程序,从Candy Crush等游戏、Tinder 等约会应用程序到怀孕追踪和宗教祈祷应用程序。由于大部分数据收集都是通过广告生态系统进行的(而不是应用程序创建者自己开发的代码),因此这种数据收集很可能是在用户甚至应用程序开发人员不知情的情况下进行的。 网络安全公司 Silent Push 的高级威胁分析师扎克·爱德华兹 (Zach Edwards) 一直密切关注位置数据行业,他在查看了部分数据后向 404 Media 表示:“我们似乎首次公开证明,向商业和政府客户销售数据的最大数据经纪商之一似乎是从在线广告‘竞价流’中获取数据,而不是从应用程序本身中嵌入的代码中获取数据。” NBC: A company that tracks and sells Americans'' location data has seemingly been hacked https://www.nbcnews.com/tech/security/location-data-broker-gravy-analytics-was-seemingly-hacked-experts-say-rcna187038 据两名网络安全研究人员称,俄罗斯网络犯罪分子已经入侵了最大的一家公司,该公司通过智能手机数据追踪美国人的位置并索要赎金。其中一名研究人员发布了大量据称被入侵的文件,以及该公司向挪威政府发出的通知。 这一事件将成为已知的最大一起违规事件,涉及少数几家备受争议的美国公司,这些公司出售人们的位置数据,而这些数据对于广告商来说是一个金矿,因为这些数据可用于广泛绘制人们的生活地图,而且通常是在人们不知情的情况下。 联邦贸易委员会上个月指控 Gravy Analytics 公司及其子公司 Venntel 非法收集和出售美国人的位置数据,而这些行为既不知情,也没有获得适当的法律同意。联邦贸易委员会表示,Gravy 追踪的一些人在进入政府大楼、诊所和礼拜场所等敏感地点时受到监控。 法国隐私和位置数据公司 Predicta Lab 的首席执行官巴蒂斯特·罗伯特 (Baptiste Robert) 下载了样本数据,并告诉 NBC 新闻,泄露的材料似乎显示人们被追踪到全球约 3000 万个地点。他说,这些数据没有明确地通过姓名来识别人员,也没有包含其他识别信息;相反,它遵循了数据经纪行业的做法,即为人们分配一串数字作为假名。 尽管数据经纪人声称使用广告 ID 假名可以保护人们的隐私,但研究人员一再表明,位置数据可以轻松识别他们。例如,如果跟踪特定手机的数据显示某人大多数晚上都在某个地址度过,那么该人很可能拥有或租用该房屋。 尽管隐私倡导者和拜登政府一直呼吁制定全面的联邦隐私法,但美国目前还没有制定这样的法律。去年,杜克大学的研究人员发现,数据经纪人广泛出售美国军人的数据,包括位置数据。 2023 年,国家情报总监办公室发现,美国情报机构对直接监视美国人有限制,经常从经纪人那里购买有关美国人的数据,而且这一过程几乎没有指导或监督。 这是另一篇报道,其中有 Gravy Analytics 涉及的全部 APP list https://www.designrush.com/news/gravy-analytics-breach-leaks-sensitive-location-data-from-millions-of-popular-apps 相关 APP list: (很奇怪里面没有Paypal, 但是银行职员很确定地说 Paypal 也是其中之一) https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pcSHsVO6yIUqbjnlM4ewjO6Cs/edit?gid=1257088277#gid=1257088277 另外顺便提醒一下,不知道美国的银行是不是一样,在加拿大给银行打客服电话一般都会要求客户提供一个phone code 作为身份核实的方式之一,但是客服是不应该知道这个code 的,他们在要求客户提供的时候应该提醒客户不要说出来泄露给任何人,而只是在手机上输入号码就可以了。在接通电话前其实有提示音说不要把这个phone code提供给任何人,但是没有明确说包括客服,客服在要这个code 的时候假如不明确说明,客户其实很容易出于信任直接说出来。我有次打电话,客服是个印度口音的女孩,直接问了这个 phone code,我说了以后她才说她会操作一下让我在手机上输入,结果也没操作成功,然后我感觉很不对,就让她换了一个客服,是个印度口音的男的,但是要phone code的同时就说了不要告诉他,而是等提示音后在手机上输入。就是说那个女孩的做法是违规的。后来我说需要改这个code,他说只能去银行改,刚好那天还是长周末开始前一天,银行下班也早,没改成,后来才去改的。所幸中间也没有信用卡盗刷的事,但是这个过程其实也很折磨人。后来因为别的事给银行打电话的时候是个本地口音的客服接的,我提到这个事,他说银行的客服没有外包,这些都是在加拿大的同事,而且我也改了code,不会有问题的。但是感觉这事还是要警醒,现在哪怕是身在加拿大有正式工作的这些烙印感觉也不能让人放心,一定要格外小心。以后听到咖喱口音还是找国语客服相对保险一些。
Tinder and Grindr; games such as Candy Crush, Temple Run, Subway Surfers, and Harry Potter: Puzzles & Spells; transit app Moovit; My Period Calendar & Tracker, a period-tracking app with more than 10 million downloads; popular fitness app MyFitnessPal; social network Tumblr; Yahoo’s email client; Microsoft’s 365 office app; and flight tracker Flightradar24. The list also mentions multiple religious-focused apps such as Muslim prayer and Christian Bible apps, various pregnancy trackers, and many VPN apps.
一些相关报道:
Candy Crush, Tinder, MyFitnessPal: See the Thousands of Apps Hijacked to Spy on Your Location
https://www.wired.com/story/gravy-location-data-app-leak-rtb/
一些世界上最受欢迎的应用程序很可能被广告行业的不法分子利用,大规模收集敏感位置数据,而这些数据最终落入一家位置数据公司的手中,而该公司的子公司此前曾将全球位置数据出售给美国执法部门。
位置数据公司 Gravy Analytics 的黑客文件中包含了数千个应用程序,包括 Android 和 iOS 上的各种应用程序,从Candy Crush等游戏、Tinder 等约会应用程序到怀孕追踪和宗教祈祷应用程序。由于大部分数据收集都是通过广告生态系统进行的(而不是应用程序创建者自己开发的代码),因此这种数据收集很可能是在用户甚至应用程序开发人员不知情的情况下进行的。
网络安全公司 Silent Push 的高级威胁分析师扎克·爱德华兹 (Zach Edwards) 一直密切关注位置数据行业,他在查看了部分数据后向 404 Media 表示:“我们似乎首次公开证明,向商业和政府客户销售数据的最大数据经纪商之一似乎是从在线广告‘竞价流’中获取数据,而不是从应用程序本身中嵌入的代码中获取数据。”
NBC: A company that tracks and sells Americans'' location data has seemingly been hacked
https://www.nbcnews.com/tech/security/location-data-broker-gravy-analytics-was-seemingly-hacked-experts-say-rcna187038
据两名网络安全研究人员称,俄罗斯网络犯罪分子已经入侵了最大的一家公司,该公司通过智能手机数据追踪美国人的位置并索要赎金。其中一名研究人员发布了大量据称被入侵的文件,以及该公司向挪威政府发出的通知。 这一事件将成为已知的最大一起违规事件,涉及少数几家备受争议的美国公司,这些公司出售人们的位置数据,而这些数据对于广告商来说是一个金矿,因为这些数据可用于广泛绘制人们的生活地图,而且通常是在人们不知情的情况下。 联邦贸易委员会上个月指控 Gravy Analytics 公司及其子公司 Venntel 非法收集和出售美国人的位置数据,而这些行为既不知情,也没有获得适当的法律同意。联邦贸易委员会表示,Gravy 追踪的一些人在进入政府大楼、诊所和礼拜场所等敏感地点时受到监控。
法国隐私和位置数据公司 Predicta Lab 的首席执行官巴蒂斯特·罗伯特 (Baptiste Robert) 下载了样本数据,并告诉 NBC 新闻,泄露的材料似乎显示人们被追踪到全球约 3000 万个地点。他说,这些数据没有明确地通过姓名来识别人员,也没有包含其他识别信息;相反,它遵循了数据经纪行业的做法,即为人们分配一串数字作为假名。 尽管数据经纪人声称使用广告 ID 假名可以保护人们的隐私,但研究人员一再表明,位置数据可以轻松识别他们。例如,如果跟踪特定手机的数据显示某人大多数晚上都在某个地址度过,那么该人很可能拥有或租用该房屋。 尽管隐私倡导者和拜登政府一直呼吁制定全面的联邦隐私法,但美国目前还没有制定这样的法律。去年,杜克大学的研究人员发现,数据经纪人广泛出售美国军人的数据,包括位置数据。 2023 年,国家情报总监办公室发现,美国情报机构对直接监视美国人有限制,经常从经纪人那里购买有关美国人的数据,而且这一过程几乎没有指导或监督。
这是另一篇报道,其中有 Gravy Analytics 涉及的全部 APP list https://www.designrush.com/news/gravy-analytics-breach-leaks-sensitive-location-data-from-millions-of-popular-apps
相关 APP list: (很奇怪里面没有Paypal, 但是银行职员很确定地说 Paypal 也是其中之一) https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pcSHsVO6yIUqbjnlM4ewjO6Cs/edit?gid=1257088277#gid=1257088277
另外顺便提醒一下,不知道美国的银行是不是一样,在加拿大给银行打客服电话一般都会要求客户提供一个phone code 作为身份核实的方式之一,但是客服是不应该知道这个code 的,他们在要求客户提供的时候应该提醒客户不要说出来泄露给任何人,而只是在手机上输入号码就可以了。在接通电话前其实有提示音说不要把这个phone code提供给任何人,但是没有明确说包括客服,客服在要这个code 的时候假如不明确说明,客户其实很容易出于信任直接说出来。我有次打电话,客服是个印度口音的女孩,直接问了这个 phone code,我说了以后她才说她会操作一下让我在手机上输入,结果也没操作成功,然后我感觉很不对,就让她换了一个客服,是个印度口音的男的,但是要phone code的同时就说了不要告诉他,而是等提示音后在手机上输入。就是说那个女孩的做法是违规的。后来我说需要改这个code,他说只能去银行改,刚好那天还是长周末开始前一天,银行下班也早,没改成,后来才去改的。所幸中间也没有信用卡盗刷的事,但是这个过程其实也很折磨人。后来因为别的事给银行打电话的时候是个本地口音的客服接的,我提到这个事,他说银行的客服没有外包,这些都是在加拿大的同事,而且我也改了code,不会有问题的。但是感觉这事还是要警醒,现在哪怕是身在加拿大有正式工作的这些烙印感觉也不能让人放心,一定要格外小心。以后听到咖喱口音还是找国语客服相对保险一些。