En eksplosiv lekkasje har rammet det norsk-amerikanske selskapet Gravy Analytics, der mer enn 3 millioner registreringer av folks bevegelser i Europa har blitt publisert på et russisk hackerforum. Denne informasjonen stammer ifølge kilder fra kun én time i januar i år.

Hackerne har offentliggjort detaljer som viser omfanget av de stjålne dataene. Ekspertvurderinger indikerer at dataene tilhører Gravy Analytics, som nylig har slått seg sammen med det norske selskapet Unacast.

Reports from several international media outlets highlight the extent of the leak, which is said to potentially include sensitive information from customer lists to detailed lokasjonsdata. Teknologinettstedet 404 Media har rapportert om de omfattende datalekkasjene.

NRK har fått tilgang til flere skjermbilder fra hackerforumet, som viser at et upublisert datasett inneholder informasjon om hele 146.000 norske mobilenheter. Dette har fått alarmklokkene til å ringe hos Datatilsynets seksjonssjef, Tobias Judin, som sier:

– Dette er potensielt enormt. Konsekvensene kan berøre et stort antall mennesker. Vi har all grunn til å være bekymret.

Hva betyr dette for deg?

Gravy Analytics, nå i partnerskap med Unacast, er en del av en industri som har vokst kraftig de siste årene. Disse selskapene samler og analyserer lokasjonsdata fra mobiltelefoner, og informasjonen kan stamme fra apper som mange bruker daglig.

WeeZee, et norsk IT-selskap, har bekreftet at de har tilgang til filene som ble lekket. Ifølge dem er filene nå midlertidig utilgjengelige, noe som gir grunn for bekymring om hvor mange flere data som kan være eksponert.

Judin forklarer at denne typen informasjon kan gi innsikt i hvor enkeltpersoner bor, jobber, og til og med deres uvanlige reiseruter. Dette kan være pinlig og skadelig for personvernet, og det kan lett brukes til svindel eller utpressing.

Ingen respons fra Unacast

Selskapet Unacast, etablert i Norge i 2014, har flere nordmenn i toppledelsen. I fjor høst ble besøkende til Gravy Analytics’ nettside automatisk overført til Unacast etter sammenslåingen. Torsdag formiddag var Gravy Analytics’ nettsider nede, og NRK har ikke fått svar på henvendelser til Unacast, verken på e-post eller telefon.

Presset i bransjen øker, da det amerikanske handelstilsynet, Federal Trade Commission, har anklaget Gravy Analytics for villedende praksis, og for å samle inn lokasjonsdata uten nødvendig samtykke i en sak som endte med et forlik i desember.

NRK har tidligere belyst hvordan lokasjonsdata havner i hendene på både kommersielle aktører og myndigheter. I en av de avsløringene omtalte NRK hvordan et datterselskap av Unacast, Venntel, samlet inn over 70.000 datapunkter fra en enkelt norsk mobiltelefon, noe som reiser spørsmål ved hvordan personopplysninger håndteres og beskyttes.

Hva nå? Med hver ny lekkasje er viktigheten av digital sikkerhet mer opplagt enn noen gang. Det er kritisk at både enkeltpersoner og selskaper tar tilbake kontrollen over sine data.