Et stort internationalt datalæk har muligvis kompromitteret følsomme lokalitetsdata fra millioner af brugere af populære apps som Vinted, Spotify, Candy Crush og Tinder. En ukendt hacker har angiveligt delt disse oplysninger på et russisksproget site, der ofte bruges af cyberkriminelle.
Ifølge rapporter er det amerikanske firma Gravy Analytics (GA), som videresælger lokalitetsdata fra tusindvis af apps, blevet ramt af et hackerangreb.
Det er uklart, hvor mange der præcist har fået deres data stjålet. Eksperter frygter, at de stjålne data kan bruges til svindel eller afpresning, skriver mediet iNews.
Mange virksomheder indsamler brugerdata fra apps og sælger dem videre til datafirmaer som GA, der sælger informationen til hedgefonde, forsikringsselskaber eller myndigheder. Det læk kan afsløre detaljer om brugernes bevægelser, shoppingvaner og identiteter, hvilket kan få alvorlige konsekvenser for privatlivet.
Professor Alan Woodward, cybersikkerhedsekspert fra University of Surrey, advarer om, at tabet af privatliv bør være det største bekymringspunkt.
"Historikken over folks bevægelser kan bruges til at narre dem gennem social engineering og skaffe uautoriseret adgang," sagde han.
Gravy Analytics har tidligere fået kritik af amerikanske myndigheder for ulovligt at spore og sælge følsomme lokalitetsdata om brugere, herunder data om besøg ved sundhedsfaciliteter og religiøse steder.
Hackeren har desuden offentliggjort en liste med over 10.000 apps, hvor dataene stammer fra. Blandt dem er Vinted, Spotify, Candy Crush og Tinder nævnt som eksempler. Vinted har udtalt, at de ikke har et direkte samarbejde med GA, men undersøger, om deres brugere indirekte kan være påvirket.
Tinder benægter også et samarbejde med GA og har understreget, at de tager sikkerhed alvorligt. Spotify har udtalt, at deres brugerdata ikke er en del af dette hack.
En hacker ved navn 'Nightly' hævder at stå bag angrebet og har delt en fil på 1,4 GB med lokalitetsdata fra hackede apps. Filen indeholder angiveligt millioner af poster med GPS-data og IP-adresser, der kan dække flere års datahistorik.
Gravy Analytics' hjemmeside er i øjeblikket nede, og virksomheden har ikke besvaret henvendelser. Britiske sikkerhedskilder overvåger situationen nøje for at fastslå omfanget af datalækket. Ifølge rapporter kan hackeren have skaffet sig adgang til over 10 terabyte data, hvilket ville gøre det til et af de største datalæk i nyere tid.
Eksperter påpeger, at lækket understreger farerne ved apps, der konstant indsamler brugerdata til markedsføringsformål. Matt Gull, cybersikkerhedsekspert fra NCC Group, advarer om, at datatyveri kan føre til både afpresning og identitetstyveri.
"Denne hændelse viser, hvor presserende behovet for stærke databeskyttelsesforanstaltninger er," sagde han.
Både Spotify og King Games, som ejer Candy Crush, er blevet kontaktet for kommentarer.
