Um grupo de Hackers proclamou ter comprometido a Gravy Analytics, uma das maiores empresas mundiais de inteligência de localização, e da sua subsidiária Venntel. Estes atacantes alegam ter extraído 17 terabytes de dados, incluindo informações sensíveis de clientes, dados de localização de smartphones e informações detalhadas que permitem mapear os movimentos precisos de indivíduos.

A violação foi divulgada no fórum de cibercrime XSS, onde foram partilhadas amostras dos dados roubados de mais de 1,4 GB. Entre os dados expostos encontram-se coordenadas GPS, marcações temporais e outros detalhes sensíveis, incluindo dados relativos a Portugal e a outros países europeus.

Para além disso, os hackers afirmam ter obtido acesso de root aos servidores da Gravy Analytics, bem como controlo total sobre os seus domínios DNS e repositórios na Amazon S3. Os atacantes ameaçaram divulgar os dados caso a empresa não responda num prazo de até 24 horas. Até ao momento, o website da Gravy Analytics permanece offline, aumentando as especulações sobre o impacto desta violação:
https://gravyanalytics.com. O site da https://www.venntel.com continua online indicando que a exfiltração terá ocorrido no primeiro.

Impacto e Riscos:

A Gravy Analytics recolhe sinais de localização (supostamente) anonimizados de dispositivos móveis para fornecer informações a empresas e agências do governo dos EUA, incluindo o Departamento de Segurança Interna dos EUA (DHS). No entanto, a empresa já foi alvo de críticas pela forma como gere os dados que recolhe. Em dezembro de 2024, a Comissão Federal de Comércio (FTC) acusou a Gravy Analytics e a Venntel de violarem as leis de privacidade dos EUA ao recolher e vender dados sensíveis sem o consentimento dos utilizadores:
https://www.ftc.gov/news-events/news/press-releases/2024/12/ftc-takes-action-against-gravy-analytics-venntel-unlawfully-selling-location-data-tracking-consumers. Nada semelhante aconteceu na União Europeia: tanto quanto foi possível apurar (embora existem também dados de europeus nestas bases de dados).

Os dados expostos podem ser usados para:
1. Há técnicas de desanonimização que podem ser aplicadas sobre estes dados expondo as geolocalizações e deslocações de jornalistas, activistas, políticos e figuras públicas (https://tecnoblog.net/noticias/dados-localizacao-anonimizacao-mito)
2. Decisões de saúde, filiações políticas e práticas religiosas dos indivíduos expostos podem ser exploradas para fins de discriminação, serviços de informações e vigilância.

Os Dados de milhões de pessoas nos EUA e Europa (incluindo Portugal) foram expostos, o que terá acontecido devido à existência de vulnerabilidades graves destas importantes empresas da indústria de dados de localização.

Propostas da CpC: Iniciativa Cidadãos pela Cibersegurança para Prevenir Futuras Violações deste tipo:

1. Já existe no RGPD a obrigação de obter consentimento explícito para o processamento de dados pessoais, incluindo dados de localização, está principalmente no Artigo 6.º e no Artigo 7.º do Regulamento Geral sobre a Proteção de Dados (RGPD), complementada por definições e princípios adicionais noutros artigos: Neste caso, e dada a presença de dados de europeus parece haver uma lacuna grave na fiscalização do RGPD por parte destas empresas.
2. É necessário estabelecer precedentes legais a nível europeu, com multas substanciais e responsabilização dos executivos, para garantir que estas empresas negligentes sofram consequências pesadas e que sirvam de exemplo a outras empresas no ramo.
3. A União Europeia deve impor auditorias de segurança obrigatórias que sejam regulares e independentes às empresas que gerem dados sensíveis como estes dados de geolocalização.
4. A União Europeia deve garantir que os utilizadores possam exigir que os seus dados sejam eliminados das bases de dados de empresas como a Gravy Analytics.
5. É necessário promover a literacia digital para que os cidadãos compreendam os riscos associados ao uso de apps que recolhem dados de localização.

Esta violação de dados por parte da aparente conduta negligente da Gravy Analytics e Venntel e da acção criminosa de um grupo hacker não é apenas um alerta sobre as vulnerabilidades na indústria de dados, mas também uma chamada à acção para União Europeia, governos, empresas e cidadãos. A falta de supervisão e responsabilização no sector de dados de localização pode ter consequências graves, como a perda de privacidade e o uso indevido de informações pessoais. É urgente adoptar medidas concretas para proteger os nossos direitos digitais. Aqui, como em tantos outros casos, desde o RGPD até ao USB-C a União Europeia deve dar o Exemplo e determinar que este mercado de recolha de dados geolocalização seja regulado e severamente punido quando não é capaz de proteger de forma adequada os dados que recolhe e vende – tantas vezes – sem o consentimento dos utilizadores.