Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Enrico Pascatti : 20 Ottobre 2025 07:33
Nel gennaio 2025, il data breach di Gravy Analytics ha squarciato il velo su un ecosistema di sorveglianza commerciale che molti preferivano ignorare: milioni di coordinate GPS, estratte da app popolari come Candy Crush, Tinder e MyFitnessPal, sono finite online rivelando percorsi verso ospedali, basi militari, luoghi di culto e abitazioni private.
Ma il vero scandalo non è stato il leak: è che quei dati venivano già venduti legalmente a enti governativi statunitensi che li usavano per sorveglianza senza controllo giudiziario.
Ogni volta che apriamo un’app apparentemente innocua, si attiva una catena invisibile ma precisa. Le SDK pubblicitarie integrate dagli sviluppatori richiedono permessi di geolocalizzazione, ovviamente sia su iOS che Android. Questi permessi non servono solo a mostrare annunci geolocalizzati: alimentano un’intera industria costruita sulla raccolta, aggregazione e rivendita della posizione.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il meccanismo più pervasivo è il Real-Time Bidding (RTB), lo standard che governa le aste pubblicitarie in tempo reale. Quando un’app carica uno spazio pubblicitario, viene generata una bid request secondo lo standard OpenRTB. Questa richiesta contiene latitudine e longitudine precise, l’Advertising ID del dispositivo (GAID/IDFA), la precisione GPS, timestamp, IP e tipo di connessione. Questa bid request viene trasmessa in pochi millisecondi a decine di intermediari che possono archiviare, arricchire e rivendere quei dati.
Il risultato è un grafo di mobilità quasi univoco per ogni individuo.Un paper del MIT ha dimostrato che bastano quattro punti spazio-temporali per identificare univocamente il 95% delle persone. Non serve nemmeno il nome: le coordinate notturne rivelano dove abitiamo, quelle diurne dove lavoriamo, e l’incrocio con registri pubblici o LinkedIn completa il puzzle.
L’industria risponde con una parola magica: anonimizzazione. Ma la storia è piena di fallimenti. Nel 2006, Netflix ha pubblicato un dataset “anonimo” di rating: sono bastate poche recensioni su IMDb per re-identificare utenti reali. Nel 2013, Latanya Sweeney ha invece identificato il governatore del Massachusetts in un database medico usando solo CAP, data di nascita e genere.
Nel mondo del geospaziale, l’anonimizzazione è ancora più fragile. Arrotondare coordinate, aggiungere jitter casuale o pseudonimizzare l’ID sono difese cosmetiche che si sbriciolano davanti a dataset grandi e incroci con altre fonti. Per una vera anonimizzazione servirebbero aggregazione spaziale tramite H3/S2, temporal bucketing, Differential Privacy con epsilon documentato e k-anonimity con soppressione degli outlier. Ma queste tecniche riducono il valore commerciale dei dati, ed è per questo che l’industria preferisce l’illusione alla sostanza.
L’azienda Gravy Analytics raccoglieva coordinate GPS attraverso il bidstream pubblicitario da centinaia di app, utilizzando Google AdSense come vettore e spesso estraendo i dati all’insaputa degli stessi sviluppatori. Ma attraverso la controllata Venntel riforniva anche agenzie governative come (l’ormai famigerata) ICE e CBP. Qui emerge il cortocircuito normativo: la Costituzione americana tutela dalla sorveglianza senza mandato, ma non vieta al governo di acquistare da terze parti informazioni che non potrebbe ottenere direttamente.
La Federal Trade Commission aveva già sanzionato Gravy a dicembre 2024 – non per la raccolta, ma per la vendita senza consenso da parte degli utenti. Distinzione sottile che lasciava intatto il problema di fondo: la legalità formale non coincide con la legittimità sostanziale. Quando a gennaio 2025 oltre 30 milioni di coordinate sono finite online, la realtà è esplosa: traiettorie verso cliniche, moschee, basi militari, abitazioni di figure pubbliche. Tutto tracciabile, tutto identificabile.
Tobias Judin della Norwegian Data Protection Authority ha sintetizzato: “Può essere usato per influenzare, manipolare, ricattare.” Non è paranoia: è threat modeling applicato a dati personali per definizione e sensibili per inferenza.
I dati spaziali non sono più mappe statiche. Sono un flusso continuo di intelligence: satelliti, droni, 5G, IoT e smartphone generano miliardi di coordinate al secondo. Sopra questo layer operano algoritmi AI che applicano clustering, map-matching e ranking dei POI per dedurre dove viviamo, chi frequentiamo, quali percorsi scegliamo. La stessa tecnologia che ottimizza il traffico può prevedere dove saremo tra un’ora.
In Italia, la Direttiva INSPIRE e il RNDT hanno creato un’infrastruttura nazionale di dati territoriali. Obiettivo nobile, ma senza governance forte (DPIA, minimizzazione, audit) la trasparenza rischia di diventare sorveglianza.
E quindi anche in Italia i casi si moltiplicano.
Un dipendente di Coop Alleanza 3.0 fu licenziato perché, secondo i dati del GPS sull’auto aziendale, non avrebbe utilizzato il permesso previsto dalla legge 104 per assistere la madre.
L’Agenzia Regionale per lo Sviluppo dell’Agricoltura Calabrese è stata multata (50.000 €) dal Garante Privacy per aver richiesto ai dipendenti in modalità agile di timbrare via app con geolocalizzazione e dichiarare la propria posizione via email, senza idonea trasparenza né base legittima.
Il Garante ha anche sanzionato un’azienda che usava sistemi GPS sui veicoli aziendali per controllare circa 50 dipendenti, ritenuto un controllo a distanza illecito.
Il pattern è chiaro, in quanto anche tecniche legittime e ben accettate possono diventare illecite a seconda dell’uso. Il GDPR richiede base giuridica valida, minimizzazione dei dati e DPIA obbligatoria per trattamenti su larga scala. Ma manca ancora cultura di privacyby design: e allora vediamo proliferare geolocalizzazione attiva per default, log mai cancellati, scopi che si allargano silenziosamente, controlli di accesso insufficienti.
La catena dei dati ha numerosi punti di rottura: SDK con permessi “Always”, bidstream multi-tenant, bucket cloud mal configurati, export “temporanei” che diventano permanenti, dashboard con drill-down troppo fine. Le difese dovrebbero essere architetturali, come ad esempio aggregazione in celle H3/S2, Differential Privacy on-by-default, governance SDK rigida, cifratura at-rest, tokenizzazione, IAM per privilegio minimo, geo opt-in only nel bidstream, DPIA sistematiche, retention corta e automatizzata.
Alcuni consigli per noi utenti:
Ed esercitare i diritti GDPR tramite accesso, opposizione, cancellazione, e segnalazioni al Garante.
I Big Data territoriali sono il gemello digitale del mondo fisico. La lezione del caso Gravy non è “più disclaimer”, ma richiede di riprogettare pipeline, permessi e business model: meno bidstream aperto, più edge e aggregazione; meno “precise by default”, più accountability verificabile.
Ogni coordinata è un dato personale, spesso sensibile per inferenza. È una questione di libertà: visitare un luogo senza essere osservati, muoverci senza essere profilati, sapere chi ci traccia e perché. E dire no, con effetti tecnici reali.
Enrico PascattiL’azienda italiana di difesa Leonardo ha presentato il suo nuovo sistema Michelangelo Dome. Secondo l’azienda, è progettato per contrastare missili ipersonici e attacchi di massa con droni. Duran...
Secondo l’esperto di informatica forense Elom Daniel, i messaggi di WhatsApp possono contenere dati di geolocalizzazione nascosti anche quando l’utente non ha intenzionalmente condiviso la propria...
L’ecosistema npm è nuovamente al centro di un vasto attacco alla supply chain attribuito alla campagna Shai-Hulud. Questa ondata ha portato alla diffusione di centinaia di pacchetti apparentemente ...
Il team di GrapheneOS annuncia la chiusura completa della sua infrastruttura in Francia. Gli sviluppatori stanno accelerando il passaggio dal provider di hosting OVH e accusano dalle autorità frances...
Il Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
