Tuần trước, các đồng nghiệp của chúng tôi tại 404 Media đã tiết lộ rằng Gravy Analytics, một công ty chuyên bán lại dữ liệu vị trí, đã trở thành nạn nhân của một cuộc tấn công mạng. Tội phạm mạng đã tìm cách chiếm được cơ sở dữ liệu thuộc về nhóm người Mỹ, bao gồm dữ liệu vị trí được thu thập qua điện thoại thông minh. Dữ liệu này tiết lộ nơi người dùng sinh sống, làm việc và đi lại. Thông tin này rõ ràng được ẩn danh và ban đầu chỉ dành cho các nhà quảng cáo.
Vài ngày sau, Gravy Analytics xác nhận việc dữ liệu được thu thập đã bị đánh cắp trong một thông cáo báo chí. Unacast, công ty mẹ của Gravy Analytics, đã báo cáo vụ rò rỉ này cho chính quyền Na Uy. Được thành lập tại Na Uy vào năm 2004, Unacast đã sáp nhập với Gravy Analytics vào năm 2023, khiến vi phạm dữ liệu trở thành trách nhiệm của các cơ quan quản lý Na Uy.
Trong thông báo vi phạm do TechCrunch phát hiện, Unacast cho biết họ phát hiện ra cuộc tấn công vào thời điểm nào đó trong ngày 4 tháng 1 năm 2025. Theo cuộc điều tra của công ty, "truy cập trái phép" đã được ghi lại trên bộ lưu trữ đám mây do Amazon cung cấp. Quyền truy cập này được thực hiện thông qua việc sử dụng "khóa truy cập cửa sau". Không rõ tin tặc lấy được khóa truy cập để kích hoạt cuộc tấn công mạng bằng cách nào.
Unacast cho biết sự cố chỉ được phát hiện khi tin tặc liên hệ với Gravy Analytics. Công ty Na Uy hiện đang điều tra xem dữ liệu cá nhân có bị ảnh hưởng hay không. Tùy thuộc vào kết quả điều tra, nhóm sẽ thông báo cho tất cả những cá nhân bị ảnh hưởng, theo luật định. Nhóm này cho biết thêm rằng họ đã liên hệ với các cơ quan chức năng có liên quan của Anh.
Để chứng minh cho tuyên bố của mình, tin tặc đã đăng một mẫu gồm 30 triệu mã định danh, trong tổng số bảy tỷ mã định danh, trên một diễn đàn tiếng Nga. Mỗi mã định danh đại diện cho một điện thoại thông minh trên bản đồ. Bằng cách đào sâu vào các mẫu do tội phạm mạng cung cấp, các nhà nghiên cứu đã thiết lập một danh sách không đầy đủ các ứng dụng bị ảnh hưởng bởi vụ rò rỉ. Rất có thể thông qua các ứng dụng này, Gravy Analytics đã thu thập được một lượng lớn dữ liệu vị trí.
Chuyên gia Baptiste Robert, người đã nghiên cứu sâu các tệp, đã lập một danh sách các ứng dụng liên quan trên Github. Theo các cuộc điều tra do nhà nghiên cứu người Pháp thực hiện, công ty đã dựa vào hơn 3.000 ứng dụng để đạt được mục đích của mình và theo dõi hàng tỷ điện thoại thông minh. Trong số các ứng dụng được trích dẫn có các ứng dụng hẹn hò như Tinder và Grindr, các trò chơi như Call of Duty hoặc Candy Crush, các mạng xã hội như Tumblr và các ứng dụng thể dục như MyFitnessPal. Chúng tôi cũng tìm thấy Yahoo Mail và MooveIt. Các ứng dụng theo dõi thai kỳ cũng được các nhà nghiên cứu nhấn mạnh, bao gồm My Period Calendar & Theo dõi.
Một số ứng dụng được liệt kê đã phủ nhận mạnh mẽ bất kỳ sự thông đồng nào với Gravy Analytics, mặc dù có hồ sơ được tìm thấy trong các mẫu dữ liệu bị xâm phạm. Đây chính là trường hợp của Tinder. Khi được các đồng nghiệp của chúng tôi liên hệ tại Wired, ứng dụng hẹn hò này phủ nhận "bất kỳ mối quan hệ nào với Gravy Analytics" và tuyên bố rằng họ "không có bằng chứng nào chứng minh dữ liệu này được lấy từ ứng dụng Tinder". Tương tự như Grindr, công ty này tuyên bố "chưa bao giờ làm việc hoặc cung cấp dữ liệu cho Gravy Analytics":
Điều này thực ra không có gì đáng ngạc nhiên. Thực tế là phần lớn việc thu thập dữ liệu diễn ra thông qua hệ sinh thái quảng cáo, chứ không phải thông qua mã của nhà sản xuất ứng dụng. Cuối cùng, việc thu thập dữ liệu vị trí thường diễn ra mà người dùng hoặc thậm chí nhà phát triển ứng dụng không hề hay biết. Theo nhà nghiên cứu Zach Edwards chia sẻ với Wired, đây là "lần đầu tiên" chúng ta có "bằng chứng công khai cho thấy một trong những công ty môi giới dữ liệu lớn nhất, chuyên bán dữ liệu cho các khách hàng thương mại và chính phủ, đang lấy thông tin từ 'luồng đấu giá' quảng cáo trực tuyến, thay vì thông qua mã được nhúng trực tiếp trong ứng dụng". Khi người dùng truy cập trang web hoặc sử dụng ứng dụng, thông tin của họ (như vị trí của họ) sẽ được chia sẻ với các nhà quảng cáo để xác định quảng cáo nào sẽ được ưu tiên. Việc chia sẻ dữ liệu này, thường vô hình với người dùng, có thể bị các bên thứ ba như các nhà môi giới dữ liệu như Gravy Analytics khai thác.
Nguồn: TechCrunch
Một cuộc tấn công mạng đã được xác nhận
Vài ngày sau, Gravy Analytics xác nhận việc dữ liệu được thu thập đã bị đánh cắp trong một thông cáo báo chí. Unacast, công ty mẹ của Gravy Analytics, đã báo cáo vụ rò rỉ này cho chính quyền Na Uy. Được thành lập tại Na Uy vào năm 2004, Unacast đã sáp nhập với Gravy Analytics vào năm 2023, khiến vi phạm dữ liệu trở thành trách nhiệm của các cơ quan quản lý Na Uy.
Trong thông báo vi phạm do TechCrunch phát hiện, Unacast cho biết họ phát hiện ra cuộc tấn công vào thời điểm nào đó trong ngày 4 tháng 1 năm 2025. Theo cuộc điều tra của công ty, "truy cập trái phép" đã được ghi lại trên bộ lưu trữ đám mây do Amazon cung cấp. Quyền truy cập này được thực hiện thông qua việc sử dụng "khóa truy cập cửa sau". Không rõ tin tặc lấy được khóa truy cập để kích hoạt cuộc tấn công mạng bằng cách nào.
Unacast cho biết sự cố chỉ được phát hiện khi tin tặc liên hệ với Gravy Analytics. Công ty Na Uy hiện đang điều tra xem dữ liệu cá nhân có bị ảnh hưởng hay không. Tùy thuộc vào kết quả điều tra, nhóm sẽ thông báo cho tất cả những cá nhân bị ảnh hưởng, theo luật định. Nhóm này cho biết thêm rằng họ đã liên hệ với các cơ quan chức năng có liên quan của Anh.
Những ứng dụng nào đã xâm phạm dữ liệu vị trí của bạn?
Để chứng minh cho tuyên bố của mình, tin tặc đã đăng một mẫu gồm 30 triệu mã định danh, trong tổng số bảy tỷ mã định danh, trên một diễn đàn tiếng Nga. Mỗi mã định danh đại diện cho một điện thoại thông minh trên bản đồ. Bằng cách đào sâu vào các mẫu do tội phạm mạng cung cấp, các nhà nghiên cứu đã thiết lập một danh sách không đầy đủ các ứng dụng bị ảnh hưởng bởi vụ rò rỉ. Rất có thể thông qua các ứng dụng này, Gravy Analytics đã thu thập được một lượng lớn dữ liệu vị trí.
Chuyên gia Baptiste Robert, người đã nghiên cứu sâu các tệp, đã lập một danh sách các ứng dụng liên quan trên Github. Theo các cuộc điều tra do nhà nghiên cứu người Pháp thực hiện, công ty đã dựa vào hơn 3.000 ứng dụng để đạt được mục đích của mình và theo dõi hàng tỷ điện thoại thông minh. Trong số các ứng dụng được trích dẫn có các ứng dụng hẹn hò như Tinder và Grindr, các trò chơi như Call of Duty hoặc Candy Crush, các mạng xã hội như Tumblr và các ứng dụng thể dục như MyFitnessPal. Chúng tôi cũng tìm thấy Yahoo Mail và MooveIt. Các ứng dụng theo dõi thai kỳ cũng được các nhà nghiên cứu nhấn mạnh, bao gồm My Period Calendar & Theo dõi.
Thu thập dữ liệu vô hình
Một số ứng dụng được liệt kê đã phủ nhận mạnh mẽ bất kỳ sự thông đồng nào với Gravy Analytics, mặc dù có hồ sơ được tìm thấy trong các mẫu dữ liệu bị xâm phạm. Đây chính là trường hợp của Tinder. Khi được các đồng nghiệp của chúng tôi liên hệ tại Wired, ứng dụng hẹn hò này phủ nhận "bất kỳ mối quan hệ nào với Gravy Analytics" và tuyên bố rằng họ "không có bằng chứng nào chứng minh dữ liệu này được lấy từ ứng dụng Tinder". Tương tự như Grindr, công ty này tuyên bố "chưa bao giờ làm việc hoặc cung cấp dữ liệu cho Gravy Analytics":
Điều này thực ra không có gì đáng ngạc nhiên. Thực tế là phần lớn việc thu thập dữ liệu diễn ra thông qua hệ sinh thái quảng cáo, chứ không phải thông qua mã của nhà sản xuất ứng dụng. Cuối cùng, việc thu thập dữ liệu vị trí thường diễn ra mà người dùng hoặc thậm chí nhà phát triển ứng dụng không hề hay biết. Theo nhà nghiên cứu Zach Edwards chia sẻ với Wired, đây là "lần đầu tiên" chúng ta có "bằng chứng công khai cho thấy một trong những công ty môi giới dữ liệu lớn nhất, chuyên bán dữ liệu cho các khách hàng thương mại và chính phủ, đang lấy thông tin từ 'luồng đấu giá' quảng cáo trực tuyến, thay vì thông qua mã được nhúng trực tiếp trong ứng dụng". Khi người dùng truy cập trang web hoặc sử dụng ứng dụng, thông tin của họ (như vị trí của họ) sẽ được chia sẻ với các nhà quảng cáo để xác định quảng cáo nào sẽ được ưu tiên. Việc chia sẻ dữ liệu này, thường vô hình với người dùng, có thể bị các bên thứ ba như các nhà môi giới dữ liệu như Gravy Analytics khai thác.
Nguồn: TechCrunch
