Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Nel gennaio 2025, il data breach di Gravy Analytics ha squarciato il velo su un ecosistema di sorveglianza commerciale che molti preferivano ignorare: milioni di coordinate GPS, estratte da app popolari come Candy Crush, Tinder e MyFitnessPal, sono finite online rivelando percorsi verso ospedali, basi militari, luoghi di culto e abitazioni private.
Ma il vero scandalo non è stato il leak: è che quei dati venivano già venduti legalmente a enti governativi statunitensi che li usavano per sorveglianza senza controllo giudiziario.
Ogni volta che apriamo un’app apparentemente innocua, si attiva una catena invisibile ma precisa. Le SDK pubblicitarie integrate dagli sviluppatori richiedono permessi di geolocalizzazione, ovviamente sia su iOS che Android. Questi permessi non servono solo a mostrare annunci geolocalizzati: alimentano un’intera industria costruita sulla raccolta, aggregazione e rivendita della posizione.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il meccanismo più pervasivo è il Real-Time Bidding (RTB), lo standard che governa le aste pubblicitarie in tempo reale. Quando un’app carica uno spazio pubblicitario, viene generata una bid request secondo lo standard OpenRTB. Questa richiesta contiene latitudine e longitudine precise, l’Advertising ID del dispositivo (GAID/IDFA), la precisione GPS, timestamp, IP e tipo di connessione. Questa bid request viene trasmessa in pochi millisecondi a decine di intermediari che possono archiviare, arricchire e rivendere quei dati.
Il risultato è un grafo di mobilità quasi univoco per ogni individuo.Un paper del MIT ha dimostrato che bastano quattro punti spazio-temporali per identificare univocamente il 95% delle persone. Non serve nemmeno il nome: le coordinate notturne rivelano dove abitiamo, quelle diurne dove lavoriamo, e l’incrocio con registri pubblici o LinkedIn completa il puzzle.
L’industria risponde con una parola magica: anonimizzazione. Ma la storia è piena di fallimenti. Nel 2006, Netflix ha pubblicato un dataset “anonimo” di rating: sono bastate poche recensioni su IMDb per re-identificare utenti reali. Nel 2013, Latanya Sweeney ha invece identificato il governatore del Massachusetts in un database medico usando solo CAP, data di nascita e genere.
Nel mondo del geospaziale, l’anonimizzazione è ancora più fragile. Arrotondare coordinate, aggiungere jitter casuale o pseudonimizzare l’ID sono difese cosmetiche che si sbriciolano davanti a dataset grandi e incroci con altre fonti. Per una vera anonimizzazione servirebbero aggregazione spaziale tramite H3/S2, temporal bucketing, Differential Privacy con epsilon documentato e k-anonimity con soppressione degli outlier. Ma queste tecniche riducono il valore commerciale dei dati, ed è per questo che l’industria preferisce l’illusione alla sostanza.
L’azienda Gravy Analytics raccoglieva coordinate GPS attraverso il bidstream pubblicitario da centinaia di app, utilizzando Google AdSense come vettore e spesso estraendo i dati all’insaputa degli stessi sviluppatori. Ma attraverso la controllata Venntel riforniva anche agenzie governative come (l’ormai famigerata) ICE e CBP. Qui emerge il cortocircuito normativo: la Costituzione americana tutela dalla sorveglianza senza mandato, ma non vieta al governo di acquistare da terze parti informazioni che non potrebbe ottenere direttamente.
La Federal Trade Commission aveva già sanzionato Gravy a dicembre 2024 – non per la raccolta, ma per la vendita senza consenso da parte degli utenti. Distinzione sottile che lasciava intatto il problema di fondo: la legalità formale non coincide con la legittimità sostanziale. Quando a gennaio 2025 oltre 30 milioni di coordinate sono finite online, la realtà è esplosa: traiettorie verso cliniche, moschee, basi militari, abitazioni di figure pubbliche. Tutto tracciabile, tutto identificabile.
Tobias Judin della Norwegian Data Protection Authority ha sintetizzato: “Può essere usato per influenzare, manipolare, ricattare.” Non è paranoia: è threat modeling applicato a dati personali per definizione e sensibili per inferenza.
I dati spaziali non sono più mappe statiche. Sono un flusso continuo di intelligence: satelliti, droni, 5G, IoT e smartphone generano miliardi di coordinate al secondo. Sopra questo layer operano algoritmi AI che applicano clustering, map-matching e ranking dei POI per dedurre dove viviamo, chi frequentiamo, quali percorsi scegliamo. La stessa tecnologia che ottimizza il traffico può prevedere dove saremo tra un’ora.
In Italia, la Direttiva INSPIRE e il RNDT hanno creato un’infrastruttura nazionale di dati territoriali. Obiettivo nobile, ma senza governance forte (DPIA, minimizzazione, audit) la trasparenza rischia di diventare sorveglianza.
E quindi anche in Italia i casi si moltiplicano.
Un dipendente di Coop Alleanza 3.0 fu licenziato perché, secondo i dati del GPS sull’auto aziendale, non avrebbe utilizzato il permesso previsto dalla legge 104 per assistere la madre.
L’Agenzia Regionale per lo Sviluppo dell’Agricoltura Calabrese è stata multata (50.000 €) dal Garante Privacy per aver richiesto ai dipendenti in modalità agile di timbrare via app con geolocalizzazione e dichiarare la propria posizione via email, senza idonea trasparenza né base legittima.
Il Garante ha anche sanzionato un’azienda che usava sistemi GPS sui veicoli aziendali per controllare circa 50 dipendenti, ritenuto un controllo a distanza illecito.
Il pattern è chiaro, in quanto anche tecniche legittime e ben accettate possono diventare illecite a seconda dell’uso. Il GDPR richiede base giuridica valida, minimizzazione dei dati e DPIA obbligatoria per trattamenti su larga scala. Ma manca ancora cultura di privacyby design: e allora vediamo proliferare geolocalizzazione attiva per default, log mai cancellati, scopi che si allargano silenziosamente, controlli di accesso insufficienti.
La catena dei dati ha numerosi punti di rottura: SDK con permessi “Always”, bidstream multi-tenant, bucket cloud mal configurati, export “temporanei” che diventano permanenti, dashboard con drill-down troppo fine. Le difese dovrebbero essere architetturali, come ad esempio aggregazione in celle H3/S2, Differential Privacy on-by-default, governance SDK rigida, cifratura at-rest, tokenizzazione, IAM per privilegio minimo, geo opt-in only nel bidstream, DPIA sistematiche, retention corta e automatizzata.
Alcuni consigli per noi utenti:
Ed esercitare i diritti GDPR tramite accesso, opposizione, cancellazione, e segnalazioni al Garante.
I Big Data territoriali sono il gemello digitale del mondo fisico. La lezione del caso Gravy non è “più disclaimer”, ma richiede di riprogettare pipeline, permessi e business model: meno bidstream aperto, più edge e aggregazione; meno “precise by default”, più accountability verificabile.
Ogni coordinata è un dato personale, spesso sensibile per inferenza. È una questione di libertà: visitare un luogo senza essere osservati, muoverci senza essere profilati, sapere chi ci traccia e perché. E dire no, con effetti tecnici reali.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
