Erlent | mbl | 9.1.2025 | 20:32

Þremur milljónum skráninga lekið

Mikið er fjallað um gagnainnbrotið á samfélagsmiðlinum X þar sem nálgast má fjölda korta yfir hreyfingar snjalltækjanotenda í Evrópu og Bandaríkjunum. Hér má sjá dreifingu staðsetningargagna sem hakkararnir komust yfir í Evrópu. Skjáskot/X

„Þetta er líkast til gríðarstórt mál og getur haft áhrif á alla,“ segir Tobias Judin, sviðsstjóri í norska Datatilsynet, systurstofnun Persónuverndar hérlendis, í samtali við norska ríkisútvarpið NRK og á við gagnainnbrot sem að öllum líkindum hefur áhrif á 146.000 Norðmenn.

Um er að ræða innbrot í gagnakerfi bandaríska tæknifyrirtækisins Gravy Analytics sem í nóvember 2023 sameinaðist norska fyrirtækinu Unacast, en fyrirtækin safna og halda utan um staðsetningargögn snjalltækja almennings, einkum frá smáforritum, eða öppum, snjallsíma, og selja þau meðal annars fyrirtækjum í smásölubransanum og auglýsingastofum þar sem þau eru nýtt til markaðssetningar.

Allt frá ferðum fólks til viðskiptamannalista

Nú hefur þremur milljónum skráninga um ferðir snjalltækjanotenda í Evrópu núna í janúar verið lekið á spjallsíðu rússneskra hakkara og er óttast að þar sé aðeins um dropa í hafið að ræða af þeim skráningum sem hakkararnir komust yfir í innbroti í kerfi Gravy Analytics, en á spjallsíðuna munu hinir óprúttnu einnig hafa lekið upplýsingum um heildargagnamagnið er þeir hrifsuðu til sín. Staðsetningargögn snjalltækjanotenda í herþjónustu víða um heim eru meðal þess sem hakkararnir komust yfir.

Skjáskot af spjallsvæði hakkaranna sem sýnir hluta þeirra hreyfinga sem þeir komust yfir úr snjalltækjum herþjónustufólks í Íran, Jemen og víðar. Skjáskot/X

Sérfræðingur, sem rannsakað hefur gögnin, staðfestir við Reuters-fréttastofuna að gögnin komi að öllum líkindum frá Gravy Analytics. Tæknisíðan 404 Media birtir þær upplýsingar að gögnin spanni allt frá ferðum fólks upp í viðskiptamannalista fyrirtækisins.

Judin hjá norsku persónuverndarstofnuninni kveður atburðinn vera á meðal þess sem stofnunin hafi borið mestan kvíðboga fyrir en NRK hefur fengið aðgang að þremur skrám sem birtust á spjallsvæði hakkaranna með aðstoð norska tæknifyrirtækisins WeeZee.

„Gögnin er hægt að tengja við þig, hvar þú býrð, hvar þú vinnur, hvort þú hafir farið óvenjulega leið heim, hverja þú ert í samskiptum við, elskhuga eða fyrirtæki í samkeppni við þitt fyrirtæki. Þetta eru gögn sem nota má til að hafa áhrif á fólk og stjórna því, til að svindla á því eða kúga það,“ útskýrir Judin fyrir NRK.

13.000 hreyfingar í aðeins þremur skrám

Samruni Gravy Analytics og Unacast í Noregi fór fram í þrepum og frá því í haust sem leið færðust gestir á heimasíðu hins fyrrnefnda sjálfkrafa yfir á síðu norska fyrirtækisins. Fréttamönnum NRK hefur ekki auðnast, enn sem komið er, að fá talsmenn Unacast til að tjá sig um gagnainnbrotið hjá bandaríska samrunafyrirtækinu en vefur Gravy lá niðri í morgun.

Við skoðun hinna leknu gagna hjá NRK, þriggja skráa af heildarmagninu, hefur meðal annars komið í ljós að þær sýna 13.000 hreyfingar 4.100 snjalltækja í Noregi með nákvæmni GPS-staðsetninga, enda um slíkar staðsetningar að ræða. Hlutinn, sem hakkararnir birtu á spjallsvæði sínu, er sem fyrr segir aðeins brot af heildargögnunum sem þeir náðu og sýnir hreyfingar í eina klukkustund á nýársdag, 1. janúar.

Kært fyrir villandi starfsemi

Starfsemi Gravy Analytics er vitanlega ekki óumdeild og gæti brotið í bága við bandarísk lög, en bandaríska viðskiptaráðið Federal Trade Commission hefur kært fyrirtækið fyrir villandi starfsemi og að safna staðsetningarupplýsingum án samþykkis snjalltækjanotenda.

NRK hefur áður fjallað ítarlega um sölu staðsetningargagna til markaðsaðila og afhjúpaði þá meðal annars starfsemi dótturfyrirtækis Unacast, Venntel, sem safnað hafði inn 70.000 staðsetningarpunktum frá einum og sama snjallsímanum.

NRK
Reuters
404 Media
Kæra bandaríska viðskiptaráðsins