캔디 크러시, 틴더, 마이피트니스팔: 위치 추적에 악용된 앱들

수천 개의 앱이 위치 정보를 수집하는 방법

위치 데이터 수집: Gravy Analytics라는 위치 데이터 회사의 해킹으로 인해, Candy Crush, Tinder, MyFitnessPal 등 인기 앱들이 사용자 위치 정보를 수집하는 데 사용되고 있음이 드러남. 이 데이터는 광고 생태계를 통해 수집되며, 앱 개발자나 사용자도 모르게 이루어질 가능성이 높음.

실시간 입찰 시스템: 위치 데이터 수집은 실시간 입찰(RTB) 시스템을 통해 이루어짐. 광고를 앱에 배치하기 위해 경쟁하는 과정에서 데이터 브로커가 이 정보를 수집할 수 있음. 이는 개인정보 보호에 큰 위협이 됨.

해킹된 데이터: 해킹된 Gravy 데이터에는 미국, 러시아, 유럽의 수천만 개의 모바일 기기 좌표가 포함되어 있으며, 특정 앱과 연결된 위치 데이터도 포함됨. 이 데이터는 Gravy가 직접 수집했는지, 다른 회사로부터 받은 것인지는 불분명함.

앱 목록: Tinder, Grindr, Candy Crush, Temple Run, Subway Surfers, MyFitnessPal, Tumblr, Microsoft 365 등 다양한 앱이 목록에 포함됨. 이들 앱은 광고를 통해 위치 데이터를 수집할 가능성이 있음.

개발자 반응: 대부분의 앱 개발자들은 Gravy와의 관계를 부인하며, 광고 네트워크를 통해 위치 데이터가 수집될 수 있음을 인정함. 예를 들어, Tinder와 Muslim Pro는 Gravy와의 관계를 부인했으며, Grindr는 데이터 브로커와의 데이터 공유를 부인함.

데이터 수집 방식: 데이터는 주로 IP 주소를 통해 위치를 추정하는 방식으로 수집됨. 이는 GNSS/GPS 데이터를 사용하지 않고도 위치를 추적할 수 있음을 의미함.

규제 조치: 미국 연방거래위원회(FTC)는 Mobilewalla라는 또 다른 위치 데이터 회사가 RTB 과정을 통해 데이터를 수집하는 것을 금지함. Gravy와 Venntel도 사용자 동의 없이 데이터를 수집한 것으로 지적받음.

보안 연구: 404 Media는 해킹된 Gravy 데이터를 다양한 방법으로 검증함. 일부 파일에는 Gravy의 데이터 웨어하우징 도구인 Snowflake의 자격 증명이 포함되어 있음.