據稱，Android 和iOS 上的數千款流行行動應用程式被利用，以前所未有的規模收集敏感位置資料。 這種透過廣告生態系統進行的資料收集很可能是在使用者甚至應用程式開發人員本身都不知情的情況下進行的。

這些資訊來自Gravy Analytics 的駭客文件，這是一家位置資料公司，其子公司Venntel 曾向美國執法機構出售全球位置資料。Wired通報了這項訊息，並與404 Media 合作製作了這篇報導。

資料外洩事件暴露了一個龐大的應用程式網絡，從Candy Crush 等流行遊戲到Tinder 和Grindr 等約會應用程序，不一而足。 其中還包括懷孕追蹤和宗教祈禱應用程式等敏感類別。

網路安全公司Silent Push 的高級威脅分析師Zach Edwards 告訴404 Media：”我們似乎首次公開證明，向商業和政府客戶銷售數據的最大數據經紀商之一似乎是從在線廣告’競價流’中獲取數據，而不是將程式碼嵌入應用程式本身。

這項消息揭示了即時競價（RTB）的世界，即公司透過競價在應用程式中投放廣告的過程。 然而，這個系統有一個危險的副作用：資料經紀人可以攔截這個過程，取得手機使用者的位置資料。

愛德華茲將此描述為”隱私保護的噩夢”，並補充說：”有一些公司就像全球的蜜獾一樣，對每一條數據為所欲為”。

數據收集的規模令人震驚。 被駭客攻擊的Gravy 資料包括來自美國、俄羅斯和歐洲設備的數千萬手機座標。 受影響應用程式的清單非常廣泛，涵蓋了社交網路、健身追蹤器、電子郵件用戶端等多個類別，甚至包括用戶為保護隱私而下載的VPN 應用程式。

儘管資料外洩事件似乎涉及Gravy Analytics，但目前仍不清楚Gravy 是自己收集這些位置數據，還是從其他來源取得這些數據。 該資料集的日期可追溯到2024 年，是位置資料產業不透明世界中難得的一瞥。

Gravy Analytics 在這個生態系統中扮演著舉足輕重的角色，它匯總各種來源的手機定位數據，並透過其子公司Venntel 出售給商業實體或政府機構。 先前的調查顯示，Venntel 的客戶包括多個美國政府機構，如移民與海關執法局(ICE)、海關與邊境保護局(CBP)、國稅局(IRS)、聯邦調查局(FBI) 和緝毒局( DEA)。

這種資料收集影響深遠，引發了嚴重的隱私問題，並凸顯這些資料可能會被用於使用者從未打算或同意的用途。 例如，媒體曾展示過一個名為”Locate X”的工具如何利用Venntel 的數據監控州外墮胎診所的訪客。

名單上的大多數應用程式開發人員和公司都沒有回應置評請求。 不過，Flightradar24 在一封電子郵件中表示，從未聽說過Gravy，但承認顯示廣告是為了”幫助Flightradar24 保持免費”。

Tinder 否認與Gravy Analytics 有任何關係，而Muslim Pro（受影響的祈禱應用程式之一）則聲稱它沒有授權廣告網路收集其用戶的位置資料。

發現這些數據似乎來自於即時競價，意義尤其重大。 它將責任轉嫁給了廣告業的不法行為者和為其提供便利的科技巨頭。 這也表明，許多大型應用程式發布商可能並不知道他們的用戶資料被竊取，因此很難採取預防措施。

數位鑑識公司Adalytics 的創辦人Krzysztof Franaszek 審查了洩漏的數據，並指出”這些數據中至少有一部分可能來自與廣告相關的即時競價”。 他指出，有證據表明，Google的廣告平台正在提供一些廣告，使外部公司（包括潛在的政府承包商）能夠進行這種追蹤。

美國聯邦貿易委員會最近也對類似行為採取了行動。 12 月，該機構禁止定位數據公司Mobilewalla”為參與線上廣告拍賣以外的目的”收集消費者資料。 聯邦貿易委員會還命令Venntel 和Gravy Analytics 刪除歷史位置數據，並禁止它們出售與敏感地區（如醫療診所和宗教場所）相關的數據，但在有限的情況下除外。