Candy Crush, Tinder, MyFitnessPal : des apps détournées pour le suivi de localisation

Comment des milliers d’apps collectent les données de localisation

Collecte de données de localisation : le piratage de Gravy Analytics, une entreprise spécialisée dans les données de localisation, a révélé que des apps populaires comme Candy Crush, Tinder et MyFitnessPal servaient à collecter les informations de localisation des utilisateurs. Ces données sont recueillies via l’écosystème publicitaire, probablement à l’insu des développeurs d’apps comme des utilisateurs.

Système d’enchères en temps réel : la collecte de données de localisation s’effectue via le système d’enchères en temps réel (RTB). Lors de la mise en concurrence pour placer des publicités dans une app, des courtiers en données peuvent récupérer ces informations. Cela représente une menace majeure pour la protection de la vie privée.

Données piratées : les données de Gravy compromises par le piratage contiennent les coordonnées de dizaines de millions d’appareils mobiles aux États-Unis, en Russie et en Europe, ainsi que des données de localisation associées à certaines apps. On ne sait pas clairement si Gravy les a collectées directement ou reçues d’autres entreprises.

Liste d’apps : Tinder, Grindr, Candy Crush, Temple Run, Subway Surfers, MyFitnessPal, Tumblr, Microsoft 365 et bien d’autres figurent dans la liste. Ces apps pourraient collecter des données de localisation via la publicité.

Réaction des développeurs : la plupart des développeurs d’apps nient tout lien avec Gravy, tout en reconnaissant que des données de localisation peuvent être collectées via les réseaux publicitaires. Par exemple, Tinder et Muslim Pro ont nié toute relation avec Gravy, tandis que Grindr a nié partager des données avec des courtiers en données.

Méthode de collecte des données : les données sont principalement collectées en estimant la localisation à partir de l’adresse IP. Cela signifie qu’il est possible de suivre la localisation sans utiliser les données GNSS/GPS.

Mesures réglementaires : la Federal Trade Commission (FTC) des États-Unis a interdit à une autre entreprise de données de localisation, Mobilewalla, de collecter des données via le processus RTB. Gravy et Venntel ont également été pointées du doigt pour avoir collecté des données sans le consentement des utilisateurs.

Recherche en sécurité : 404 Media a vérifié les données piratées de Gravy par différents moyens. Certains fichiers contenaient des identifiants Snowflake, l’outil d’entreposage de données utilisé par Gravy.