Corretoras de dados de geolocalização: o que essas empresas fazem e o que acontece quando há vazamentos

O recente vazamento de dados da Gravy Analytics, uma das principais corretoras de dados de localização, destaca o que a coleta em massa de dados de localização pode implicar.

Os smartphones e outros dispositivos que usamos coletam e transmitem, todos os dias, quantidades enormes de dados sobre nós para diversas empresas terceirizadas. Isso inclui nossas informações de localização, e o mercado para essas informações é enorme. Naturalmente, a compra e venda dessas informações ocorrem sem nosso conhecimento, gerando riscos desconhecidos à nossa privacidade.

A invasão recente da Gravy Analytics ilustra perfeitamente as possíveis armadilhas dessas práticas. Esta postagem analisa como as corretoras de dados funcionam e o que pode acontecer caso as informações coletadas vazem. Também oferecemos dicas sobre o que fazer para proteger seus dados de localização.

O que são corretoras de dados de localização

Corretoras de dados são empresas que coletam, processam e vendem informações sobre usuários. Elas obtêm essas informações de aplicativos móveis, redes de anúncios on-line, sistemas de análise on-line, operadoras de telecomunicações e diversas outras fontes, que podem ser desde dispositivos domésticos inteligentes até carros.

Em teoria, esses dados são coletados apenas para análises e publicidade direcionada. Mas na prática, muitas vezes não há restrições de uso, e, aparentemente, qualquer pessoa pode comprá-los. Então, no mundo real, seus dados podem ser usados para quase qualquer motivo. Por exemplo, ano passado uma investigação revelou que corretoras de dados comerciais, que atuavam diretamente ou usando intermediários, forneciam dados até mesmo para agências de inteligência governamentais.

As corretoras de dados coletam todos os tipos de informações do usuário, e os dados de localização representam uma das categorias mais importantes e sensíveis. Na verdade, sua demanda é tão grande que existem empresas corretoras de dados especializadas apenas nesses dados.

Elas são as corretoras de dados de localização: empresas especializadas em coletar e vender informações sobre a localização do usuário. Uma das principais empresas do segmento é a empresa americana de rastreamento de localização Gravy Analytics, que se fundiu com a empresa norueguesa Unacast em 2023.

O vazamento de dados da Gravy Analytics

Em janeiro de 2025, surgiram notícias de um vazamento de dados na Gravy Analytics. No início, os rumores se limitavam a relatos não oficiais em uma publicação em russo em um fórum privado de hackers. O autor da publicação alegou ter hackeado a Gravy Analytics e roubado os dados de localização de milhões de usuários, fornecendo capturas de tela dos dados como prova.

Não demorou muito para que houvesse uma confirmação oficial. De acordo com a lei norueguesa, a controladora da Gravy Analytics, a Unacast, era legalmente obrigada a notificar as autoridades reguladoras nacionais.

O comunicado da empresa informou que, em 4 de janeiro, um indivíduo não autorizado acessou o ambiente de armazenamento em nuvem AWS da Gravy Analytics “por meio de uma chave de acesso da qual se apropriou indevidamente”. O intruso “obteve determinados arquivos que poderiam conter dados pessoais”.

Análise dos dados vazados da Gravy Analytics

A Unacast e a Gravy Analytics não tiveram pressa em especificar quais dados poderiam ter sido comprometidos. No entanto, depois de alguns dias, um pesquisador de segurança independente publicou sua própria análise aprofundada das informações vazadas, tomando por base uma amostra dos dados roubados que foram disponibilizados.

Dados de localização de usuários vazaram no mundo inteiro

O vazamento da Gravy Analytics incluiu dados de localização de usuários no mundo inteiro. Fonte

Constatou-se que a invasão da Gravy Analytics gerou um vazamento gigantesco de dados de localização de usuários no mundo inteiro, da Rússia aos Estados Unidos. O fragmento analisado pelo pesquisador tinha 1,4 GB e consistia em cerca de 30 milhões de registros. E a maioria desses registros foi coletada nos primeiros dias de janeiro de 2025. Enquanto isso, o hacker alegou que o banco de dados roubado tem 10 TB, o que deve representar mais de 200 bilhões de registros!

Esses dados foram coletados por aplicativos móveis e adquiridos pela Gravy Analytics para serem reunidos e vendidos posteriormente. Como mostrou a análise do vazamento, a lista de aplicativos usados para coletar dados de localização chega a milhares. Por exemplo, a amostra estudada continha dados coletados de 3455 aplicativos Android, incluindo aplicativos de namoro.

Localização de usuários do Tinder no Reino Unido

Os dados de localização de usuários do Tinder no Reino Unido são um exemplo dos dados vazados da Gravy Analytics. Fonte

Rastreamento e desanonimização de usuários com os dados vazados da Gravy Analytics

O mais desagradável sobre a invasão da Gravy Analytics é que o banco de dados vazado está vinculado a identificadores de publicidade: IDFA para iOS e AAID para dispositivos Android. Em muitos casos, isso possibilita rastrear o movimento dos usuários ao longo do tempo. Aqui, por exemplo, há um mapa da movimentação ao redor da Casa Branca em Washington, DC (lembre-se de que esta visualização usa apenas uma pequena amostra dos dados roubados e que o banco de dados completo contém muito mais):

Rastreamento de usuários por meio do vazamento de dados da Gravy Analytics

Os dados no vazamento da Gravy Analytics relacionados aos identificadores de publicidade podem ser usados para rastrear a movimentação de usuários ao longo do tempo. Fonte

E ainda pior, alguns dados podem ser desanonimizados. Por exemplo, o pesquisador conseguiu rastrear a movimentação de um usuário que visitou a plataforma de lançamento da Blue Origin:

Primeiro exemplo de desanonimização de usuários por meio do vazamento de dados da Gravy Analytics

Um exemplo de desanonimização de usuário usando dados de localização vazados da Gravy Analytics. Fonte

Outro exemplo: o pesquisador conseguiu rastrear a movimentação de um usuário desde o Columbus Circle, em Manhattan, Nova York, até sua casa, no Tennessee e, no dia seguinte, até a casa dos pais dele. Com base nos dados de OSINT, o pesquisador descobriu bastante sobre esse indivíduo, incluindo o nome de sua mãe e que seu falecido pai era veterano da Força Aérea dos EUA.

Outro exemplo de desanonimização de usuários pelo vazamento da Gravy Analytics

Outro exemplo de desanonimização de usuários usando dados de localização vazados da Gravy Analytics. Fonte

A violação de dados da Gravy Analytics evidencia os sérios riscos associados ao setor de corretagem de dados, principalmente se considerarmos os dados de localização. E como resultado da invasão, um enorme volume de registros de localização de usuários coletados por aplicativos móveis vazou para o domínio público.

Esses dados permitem rastrear a movimentação de muitas pessoas com uma precisão bastante alta. E, embora o banco de dados vazado não contenha identificadores pessoais diretos, como nomes, números de identificação, endereços ou números de telefone, a associação aos identificadores de publicidade pode, em muitos casos, levar à desanonimização. Assim, considerando os vários quase-identificadores, é possível estabelecer a identidade de um usuário, descobrir onde ele mora e trabalha, bem como rastrear suas conexões sociais.

Como proteger seus dados de localização?

Infelizmente, a coleta de dados de localização de usuários é uma prática tão comum hoje em dia que não há uma resposta fácil para essa pergunta. Infelizmente, não há um botão que você possa simplesmente apertar para impedir que todas as empresas de Internet do mundo coletem seus dados.

Tendo isso em mente, você pode pelo menos minimizar a quantidade de informações sobre sua localização que são obtidas pelas corretoras de dados. Eis como:

  • Seja rigoroso quando os aplicativos solicitarem acesso aos seus dados de localização. Os aplicativos, frequentemente, não precisam desses dados. Então, a menos que haja um motivo convincente para terem acesso à sua localização, apenas não autorize o acesso.
  • Seja cuidadoso ao configurar a privacidade em aplicativos que realmente precisam da sua geolocalização para funcionar. Por exemplo, confira nossos guias para configurar os aplicativos de corrida mais populares.
  • Não permita que aplicativos rastreiem sua localização em segundo plano. Ao conceder permissões, sempre selecione a opção “Somente durante o uso do aplicativo”.
  • Desinstale todos os aplicativos que não estiver mais usando. De maneira geral, tente manter o mínimo de aplicativos em seu smartphone, o que reduzirá o número de possíveis coletores de dados em seu dispositivo.
  • Se você usa dispositivos Apple iOS, iPadOS ou tvOS, desative o rastreamento de aplicativos. Isso evitará que seus dados coletados sejam desanonimizados.
  • Se você usar o Android, exclua o identificador de publicidade do seu dispositivo. Caso esta opção não esteja disponível na versão do seu sistema operacional, redefina o identificador de publicidade regularmente.
  • Instale uma solução de segurança forte, que seja capaz de bloquear o rastreamento de anúncios em todos os seus dispositivos.

Para mais dicas sobre como diminuir a coleta de seus dados por corretoras de dados generalizados, confira nossa publicação Anunciantes compartilhando seus dados com… agências de inteligência.

Dicas
Inscreva-se para receber nossos destaques em seu e-mail