Para peneliti menemukan data yang terpapar pada jutaan pengguna aplikasi kuis, TVSmiles

Para peneliti menemukan data yang terpapar pada jutaan pengguna aplikasi kuis, TVSmiles

 

Para peneliti menemukan data yang terpapar pada jutaan pengguna aplikasi kuis, TVSmiles
Para peneliti menemukan data yang terpapar pada jutaan pengguna aplikasi kuis, TVSmiles
TVSmiles , aplikasi iklan seluler berbasis di Berlin yang penggunanya mendapatkan mata uang digital dengan imbalan terlibat dengan konten bermerek seperti kuis, aplikasi, dan video, telah mengalami pelanggaran data.
Peneliti keamanan UpGuard mengungkapkan dalam sebuah laporan hari ini bahwa ia menemukan ember Amazon S3 tanpa jaminan online bulan lalu – berisi data pribadi dan perangkat yang dikaitkan dengan jutaan pengguna aplikasi. Menurut materi pemasaran TVSmiles, aplikasi kuis memiliki hingga tiga juta pengguna.
Ember penyimpanan UpGuardditemukan terpapar ke Internet berisi cadangan database PostgreSQL 306 GB dengan “informasi pengidentifikasi pribadi yang tidak terenkripsi yang cocok dengan pengguna individu, profiling wawasan tentang minat pengguna berdasarkan pada tanggapan kuis, asosiasi ke perangkat pintar, dan akun serta detail login untuk TVSmiles ‘ hubungan bisnis ”, menurut laporannya.
UpGuard menulis bahwa 261 tabel database hadir di repositori terbuka – termasuk tabel “core_users” yang terdiri dari lebih dari 6,6 juta baris. Dari entri yang memiliki alamat email yang dikaitkan dengan mereka UpGuard mengatakan menemukan 901.000 email unik.
File cadangan yang terpapar muncul tanggal kembali ke Agustus 2017.
Screengrab: UpGuard
Setelah UpGuard melaporkan pelanggaran tersebut ke TVSmiles, dalam sebuah email yang dikirim 13 Mei, Berlinperusahaan berbasis menanggapi pada 15 Mei, menulis dalam email bahwa repositori “telah segera diamankan” (UpGuard mengatakan secara independen mengkonfirmasi ini).
Salah satu pendiri TVSmiles, Gaylord Zach, menambahkan dalam email ini kepada UpGuard bahwa ia akan “menyelidiki lebih lanjut isi dari data yang terbuka untuk mengambil tindakan lebih lanjut”.
Dicapai untuk mengomentari kejadian hari ini, Zach mengonfirmasi laporan UpGuard dan juga mengkonfirmasi bahwa repositori yang terpapar secara tidak sengaja dibiarkan tanpa jaminan selama bertahun-tahun.
Dia mengatakan analisis internal log yang tersedia tidak menemukan akses tidak sah selain akses data UpGuard, menambahkan bahwa TVSmiles belum memberi tahu pengguna tentang insiden tersebut – tetapi sedang merencanakan komunikasi kepada pengguna dalam aplikasi mobile dan posting blog di situs webnya.
“Analisis kami telah mengungkapkan bahwa data terdiri dari cadangan basis data yang dibuat pada 2017 dan disimpan secara keliru dalam repositori penyimpanan awan yang disediakan dalam lingkungan hosting awan,” kata Zach kepada kami. “Diduga cadangan ini dibuat sebagai tindakan pengamanan menjelang pekerjaan pemeliharaan yang dilakukan. Penyelidikan lebih lanjut mengungkapkan tiga pelanggaran kebijakan yang independen tetapi berat: 1.) Cadangan disimpan dalam format biasa di mana semua cadangan seharusnya dienkripsi; 2.) Repositori yang terpengaruh disediakan sebagai repositori kode dan tidak pernah dimaksudkan untuk menyimpan data; 3.) Repositori yang terkena dampak dimaksudkan untuk penggunaan pribadi dalam organisasi dan tidak pernah dimaksudkan untuk tersedia untuk umum.
“Kombinasi yang sangat disayangkan dari ketiga faktor ini menghasilkan periode yang lama bahwa data ini tetap disimpan tanpa ditemukan.”
TVSmiles melaporkan pelanggaran tersebut ke otoritas perlindungan Data Jerman – mengajukan laporannya pada 17 Mei, per Zach.
Peraturan Perlindungan Data Umum (GDPR) Eropa mewajibkan pengontrol data untuk melaporkan semua pelanggaran data pribadi yang berisiko terhadap hak dan kebebasan orang ke otoritas pengawas dalam waktu setidaknya 72 jam penemuan.
“Kami sangat berterima kasih kepada UpGuard yang membuka paparan ini sebelum menyebabkan pelanggaran data material dan membahayakan pengguna kami. Kami sangat malu dengan paparan data pengguna yang tidak perlu ini. Ini adalah pengingat yang kuat bagi setiap pengembang untuk melakukan pemeriksaan keamanan rutin dan pemeliharaan rumah untuk menghindari insiden ini, ”tambahnya.
Screengrab: UpGuard
Klik untuk data
Bisnis TVSmiles berpartisipasi dalam ekosistem iklan digital berbahan bakar data yang beroperasi dengan menautkan ID pengguna ke perangkat, aktivitas digital, dan minat yang dilacak, membangun profil individual untuk tujuan menargetkan pengguna layar dengan iklan.
Oleh karena itu, konten interaktif yang mendorong aplikasi kuis TVSmiles mendorong pengguna untuk terlibat – aktivitas yang menguntungkan dengan mata uang digital berpemilik (disebut ‘Senyum’) yang dapat ditukar dengan voucher diskon pada produk di tokonya atau langsung untuk uang tunai – berfungsi baik sebagai pemasaran langsung bahan untuk mendorong keterlibatan yang lebih dalam di sekitar konten bermerek; dan alat pemanen data dengan haknya sendiri, memungkinkan bisnis untuk mengumpulkan wawasan yang lebih dalam tentang minat pengguna yang pada gilirannya dapat dimonetisasi melalui profil pengguna dan penargetan iklan.
Wawasan seperti itu memungkinkan TVSmiles untuk menyambungkan ke ekosistem periklanan digital yang lebih luas di mana pengguna seluler diprofilkan dan dilacak pada skala di beberapa aplikasi, layanan, dan perangkat agar iklan yang ditargetkan dapat mengikuti bola mata saat berjalan – semuanya didukung oleh profil latar belakang digital orang. aktivitas dan minat yang disimpulkan.
Menurut Crunchbase aplikasi kuis telah mengumpulkan total $ 12,6 juta dalam pendanaan sejak didirikan sekitar tujuh tahun yang lalu ketika itu mengajukan diri sebagai aplikasi layar kedua untuk pemirsa TV. Ia kemudian meluncurkan platform iklannya sendiri, yang disebut Kwizzard, yang mengemas iklan ke dalam “format iklan asli, teranifikasi” – dengan tujuan memikat pengguna aplikasi untuk terlibat dengan kampanye iklan berbasis kuis.
Mengingat sifat bisnis TVSmiles – dan kurangnya transparansi yang lebih luas tentang bagaimana fungsi industri adtech  – pelanggaran data ini merupakan pandangan yang menarik dan mengerikan dari luasnya dan kedalaman pengumpulan data yang secara rutin berlangsung di latar belakang dukungan iklan layanan digital.
Bahkan aplikasi dengan basis pengguna yang relatif kecil (jutaan digit tunggal) dapat duduk di atas repositori besar data pelacakan.
Industri iklan online juga terus menghadapi pertanyaan besar tentang dasar hukum yang diklaimnya untuk memproses volume besar data pribadi di bawah rezim perlindungan data Uni Eropa.
Database master plus token akses
Dalam hal jenis data yang diekspos dalam pelanggaran ini, UpGuard mengatakan cadangan database PostgreSQL 306 GB berisi “informasi terpusat” tentang pengguna aplikasi, di samping apa yang digambarkan sebagai “sejumlah besar sistem internal dan informasi kemitraan yang diperlukan untuk setiap bisnis yang berpartisipasi dalam ekosistem periklanan online modern ”.
Halaman LinkedIn TVSmiles melaporkan aplikasi memiliki lebih dari 2 juta pengguna di Jerman dan Inggris – per Google Play store aplikasi TVSmiles memiliki lebih dari 1 juta unduhan hingga saat ini, dan sementara iOS Apple tidak mengeluarkan angka rata-rata untuk unduhan aplikasi. video di halaman aplikasi Play Store merujuk pada pengguna 3M – jadi mungkin saja angka 6,6M terkait dengan total unduhan selama masa pakai aplikasi sejak diluncurkan kembali pada September 2013.
Zach mengatakan kepada kami bahwa perbedaan antara angka-angka pengguna adalah hasil dari TVSmiles menjadi bisnis yang jauh lebih kecil daripada pada pertengahan 2017 – ketika menghabiskan banyak untuk pemasaran dan memiliki lebih banyak pengguna aktif, termasuk sebagai hasil dari operasi di Pasar Inggris (yang ditinggalkan pada 2018).
“Secara umum kami sekarang organisasi yang jauh lebih kecil dibandingkan dengan 2017,” tambahnya.
Tabel lain dalam repositori ditemukan oleh UpGuard mengandung lebih banyak entri – seperti tabel “tracking_token”, dengan lebih dari 235 juta baris entri.
“Sebuah tabel dalam basis data ini yang disebut” user_core “berisi enam juta baris, dengan banyak pengguna memiliki bidang” negara “mereka ditandai untuk wilayah lain di seluruh Eropa, menjadikan data ini konsisten dengan menjadi database master untuk TVSmiles pada saat itu,” tulisnya dalam laporan. “Tabel user_core berisi bidang untuk alamat email, fb_user, fb_access_token, nama depan dan belakang, jenis kelamin, tanggal lahir, alamat, nomor telepon, kata sandi, dan lainnya.”
UpGuard memberi tahu kami bahwa tabel user_core diisi hash kata sandi untuk 626.000 baris. Dikatakan bahwa kata sandi ini tampaknya hash menggunakan jenis algoritma hashing yang dikenal rentan terhadap kekerasan paksa – algoritma sha256 – dan karena itu menawarkan sedikit perlindungan terhadap penyerang jahat.
Ia menambahkan bahwa ia dapat menemukan tiga dari tiga kata sandi hash acak yang diperiksa dalam indeks yang tersedia untuk umum yang mudah dicari secara online – yang berarti hash kata sandi ini telah dibalik (yang pada gilirannya menunjukkan bahwa mereka mungkin telah digunakan di tempat lain sebelumnya; atau yang lain biasanya dapat ditebak).
Itu juga menemukan ID pengguna Facebook (“fb_user”) dan token akses (“fb_access_token”) disimpan dalam repositori untuk beberapa pengguna TVSmiles yang terdaftar – mungkin bagi mereka yang menggunakan akun Facebook untuk masuk ke aplikasi.
“Tidak semua titik data ada untuk semua pengguna – misalnya, bidang khusus Facebook kemungkinan hanya akan ada untuk pengguna yang terhubung dengan identitas Facebook mereka, dan pengguna yang telah mengautentikasi melalui Facebook tidak akan secara inheren perlu membuat kata sandi untuk aplikasi karena fungsionalitas metode otentikasi itu, ”saran UpGuard.
Repositori terbuka berisi lebih dari 312.000 token akses terkait dengan ID Facebook, menurut analisisnya.
Screengrab: UpGuard
Ia juga menemukan koleksi besar data pribadi yang disimpan dalam tabel yang terkait dengan perangkat pengguna akhir – yang katanya terkait dengan token pelacakan, ID iklan, dan penghargaan pengguna.
“Tabel yang disebut” device_core “berisi 7,5 juta baris yang diikat ke perangkat fisik,” tulis UpGuard. “Perangkat ini memiliki id perangkat unik, token akses, dan pemetaan ke id pengguna dari pemiliknya. Id perangkat itu, pada gilirannya, kemudian relevan dengan tabel “tracking_token” yang terdiri dari 235 juta baris entri.
“Baris-baris dalam tabel tracking_token mencakup bidang-bidang seperti campaign_id, placement_id, user_payout, dan challenge_id, membangun gambar kegiatan TVSmiles – seperti yang ditanggapi iklan dan kegiatan yang dilakukan pengguna – di setiap perangkat – yang kemudian dapat ditautkan kembali ke pengguna. “
Data pribadi lain yang ditemukan dalam repositori termasuk data lokasi yang tepat – “garis lintang dan bujur pengguna” – dengan tampilan admin terkait yang dikonfigurasi untuk database bernama “info perangkat lengkap”, yang menurut UpGuard menyoroti “the” tracker_name, “nilai token, dan stasiun cuaca terdekat ”.
Itu juga menemukan kumpulan “wawasan” terkait dengan pengguna TVSmiles – terdaftar dalam bentuk “niat, minat, dan kualitas psikografis lainnya”.
“Mata pelajaran ini berkisar dari barang-barang konsumen (misalnya buku, video game, furnitur, dan pakaian) hingga pendidikan pengguna dan minat yang lebih esoteris,” catatan laporan itu.
Screengrab yang dihapus: UpGuard
Selain menyimpan (tidak dienkripsi) data pribadi yang dilampirkan ke jutaan pengguna aplikasi TVSmiles, dan memilah kata sandi untuk lebih dari setengah juta entri ini, repositori yang terbuka ditemukan berisi informasi yang terkait dengan sejumlah klien bisnis perusahaan sendiri. – Juga terikat untuk mengakses token.
“Adalah masuk akal untuk menafsirkan nama-nama ini sebagai klien bisnis, yang telah membayar untuk mempublikasikan iklan di TVSmiles atau memiliki akses ke wawasan yang diperoleh dari interaksi aplikasi pengguna akhir,” UpGuard menulis tentang tabel “business_clients”.
“Kata sandi hash pengguna bisnis ini, nomor telepon, alamat email, nama, dan titik data lainnya juga ada. Sebaliknya, kredensial TVSmiles sendiri untuk berinteraksi dengan vendor yang diperlukan untuk menyediakan platform TVSmiles, seperti pertukaran iklan, platform deteksi penipuan, dan penjadwalan komunikasi email, juga hadir. “
UpGuard menyarankan bahwa seorang peretas yang menemukan ember yang tidak aman mungkin dapat menggunakan token untuk mendapatkan akses ke sejumlah layanan tambahan di mana mereka berpotensi mendapatkan data pengguna lebih lanjut – seperti dengan mengekspor data kontak; mengakses atau mengirim email melalui layanan pihak ketiga; atau membaca informasi layanan bersejarah dan metrik kinerja.
“Jika basis data ini ditemukan oleh entitas jahat, sebelum UpGuard menemukannya dan mengirimkan pemberitahuan yang sesuai, ada kemungkinan bahwa kredensial tersebut dapat memungkinkan penyerang untuk meniru TVSmiles dan mengumpulkan informasi tambahan tentang target sewenang-wenang dari platform dan penyedia layanan lainnya, ”Tambahnya.
Zach mengkonfirmasi data yang berisi ” token akses legacy” – tetapi mengatakan mereka berasal dari metodologi login yang sudah usang yang sejak itu telah diganti dengan tanda OAuth berdasarkan layanan.
” Data tersebut berasal dari Agustus 2017. Setiap token akses yang terkandung karenanya akan berakhir sekarang,” katanya kepada kami, mengatakan TVSmiles belum memberi tahu mitra bisnis karena melihat “tidak ada risiko besar berdasarkan sifat dan usia orang yang terpapar. token ”.
“Namun kami tidak akan ragu untuk menghubungi dan mengambil tindakan jika kami telah meremehkan atau mengawasi risiko,” tambahnya.
Pertanyaan persetujuan
Setelah meninjau laporan UpGuard, Wolfie Christl , seorang peneliti privasi berbasis di Uni Eropa yang berfokus pada adtech dan pengawasan berbasis data, menyerukan lembaga perlindungan data Uni Eropa untuk meluncurkan penyelidikan segera.
“Ini adalah pelanggaran data besar-besaran. Tapi ini lebih dari itu. Ini memberikan gambaran sekilas ke industri buram yang terdiri dari ribuan perusahaan yang secara diam-diam memanen informasi pribadi yang luas tentang jutaan orang untuk tujuan bisnis, ”katanya kepada TechCrunch.
“Menurut database yang bocor, perusahaan memiliki profil digital pada 6 juta orang dan 7,5 juta perangkat. Tampaknya mereka menautkan nama, alamat email, dan nomor telepon dengan pengidentifikasi perangkat, akun media sosial, dan ke semua jenis data perilaku.
“Otoritas perlindungan data di Jerman – dan mungkin di negara-negara Eropa lainnya – harus segera memulai penyelidikan. Selain pelanggaran data, mereka harus memeriksa apakah perusahaan, dan afiliasinya serta mitranya, memproses data pribadi dalam jumlah yang luas ini dengan cara yang sah. Apakah mereka memiliki dasar hukum untuk memprosesnya? “
Screengrab: UpGuard
“Masalah yang lebih luas adalah bahwa, dua tahun setelah GDPR berlaku penuh, itu masih belum ditegakkan di bidang utama,” tambah Christl. “Kami masih melihat penyalahgunaan informasi pribadi skala besar di seluruh dunia digital, dari platform hingga pemasaran digital hingga aplikasi seluler. Otoritas UE seharusnya bertindak bertahun-tahun yang lalu, mereka harus melakukannya sekarang. ”
Dalam kebijakan privasinya , TVSmiles menyatakan bahwa ia hanya menggunakan data pribadi pengguna aplikasi “sejauh ini diizinkan secara hukum atau Anda telah memberikan persetujuan Anda … untuk tujuan periklanan, riset pasar, atau desain berdasarkan kebutuhan dari penawaran kami” [teks diterjemahkan menggunakan Google Translate].
“Kami memperoleh persetujuan pengguna untuk penggunaan data dan telah membuat bagian khusus dalam aplikasi kami untuk mendapatkan persetujuan seperti data lokasi, pengidentifikasi iklan, berbagi data pribadi dengan mitra iklan,” Zach memberi tahu kami mengenai hal ini, menambahkan bahwa informasi persetujuan adalah diberikan kepada “berbagai mitra periklanan dan pelacakan” – dengan asumsi pengguna setuju untuk dilacak melalui respons terhadap arus persetujuannya (ditunjukkan di bawah).
Tangkapan layar: TVSmiles
Referensi ke sejumlah perusahaan adtech pihak ketiga dapat ditemukan di repositori TVSmiles, per UpGuard, menyarankan agar mereka menggunakan layanan mereka untuk keperluan penataan data, pengayaan dan monetisasi – termasuk Adex, platform manajemen data, dan pasar yang situs webnya mempromosikan “Jual dan beli data yang mudah”; Menyesuaikan , perusahaan pengukuran seluler dan pencegahan penipuan yang diarahkan untuk pemasaran seluler; perusahaan monetisasi aplikasi seluler, Fyber ; dan platform analitik perilaku pengguna produk, Mixpanel .
Komponen lain yang menarik dalam cerita ini adalah bagaimana bisnis TVSmiles mengangkangi dunia TV dan periklanan online. Bisnisnya dimulai, lebih dari setengah dekade yang lalu, dengan fokus yang kuat pada gagasan menjadi aplikasi ‘layar kedua’ untuk pemirsa TV – termasuk dengan menggunakan teknologi audio untuk secara otomatis mengidentifikasi iklan TV untuk melayani konten dalam aplikasi yang terkait. Ini berarti dipalsukan dengan raksasa media tradisional.
Kembali pada tahun 2014, misalnya, ia menandatangani kemitraan pemasaran untuk aplikasinya di Austria dengan anak perusahaan pemasaran raksasa media ProSiebenSat.1, SevenOne Media. Pada saat itu MD ProSiebenSat.1 MD PULS 4, Michael Stix, menyebut langkah tersebut sebagai ” langkah strategis” untuk mengintegrasikan komunikasi merek di layar kedua, memuji ikatan sebagai cara untuk menawarkan kepada pelanggan iklan “titik-titik kontak baru tambahan” karena kelompok sasaran.
Tetapi kebangkitan TV pintar dan digital sign-in telah membuka jalan untuk lebih menghubungkan aktivitas Internet dan menonton TV. Terutama karena raksasa media massa tradisional telah mencari cara untuk mendiversifikasi bisnis media mereka, dengan lebih banyak kompetisi untuk bola mata pemirsa daripada sebelumnya.
Di balik semua layar ini terdapat sejumlah besar pipa adtech yang kompleks yang bertukar data yang dikaitkan dengan pengguna individu – ID perdagangan dan wawasan untuk bergabung dengan titik-titik dan menayangkan iklan bertarget. Jadi “titik kontak” yang terhubung sekarang sangat integral, bukan sekunder, akhir-akhir ini.
UpGuard menemukan label (lihat di bawah screengrab) di repositori TVSmiles yang terbuka yang merujuk ke “seven_pass”: Aka solusi akses tunggal untuk semua layanan digital ProSieben.Sat1, yang disebut 7Pass.
Sebuah FAQ di website TVSmiles’ menegaskan TVSmiles pengguna dapat menggunakan layanan 7Pass untuk masuk ke aplikasi.
Screengrab: UpGuard
Dalam kebijakan privasinya , TVSmiles menyatakan bahwa data “pengguna samaran” pengguna login 7Pass dikirim ke ProSiebenSat.1 Digital & afiliasinya dan ke perusahaan terafiliasi lainnya dari ProSiebenSat.1 Media SE – termasuk data respons kuis.
“Selain itu, data survei yang dikumpulkan dan disediakan oleh Anda melalui kartu survei di aplikasi juga dikirimkan dengan nama samaran ke ProSiebenSat.1 Digital & Adjacent GmbH dan perusahaan afiliasi lain dari ProSiebenSat.1 Media SE untuk memungkinkan Anda menggunakan kartu kuis khusus di aplikasi, membawa lebih banyak smilies dan dapat menawarkan promosi khusus bekerja sama dengan ProSiebenSat.1, “tambahnya.
Tentu saja, seperti halnya hash kata sandi yang lemah, data pribadi “nama samaran” dapat dengan mudah diidentifikasi ulang – seperti dengan menyatukan ID pelacakan.
Ditanya tentang layanan 7Pass, Zach mengatakan TVSmiles telah mengganti manajemen pengguna lawasnya dengan layanan digital sign-on ProSiebenSat.1 – mengklaim tujuan utamanya adalah “untuk meningkatkan layanan sign-on yang terawat baik oleh mitra yang lebih besar dan menghilangkan kebutuhan kredensial dan token akses yang dikelola sendiri ”.
“Mengingat sensitivitas data pengguna dan kredensial akses sepertinya pilihan yang bijaksana dalam terang kasus ini,” tambahnya.

Dalam perkembangan bisnis yang lebih baru, TVSmiles menjual divisi pengembangan dan adtech ke sebuah

perusahaan bernama PubNative pada bulan Desember 2019 . PubNative adalah SSP seluler dan pertukaran iklan terprogram yang dimiliki oleh perusahaan induk Jerman yang disebut MGI Media yang membuat sejumlah besar akuisisi media dan adtech dalam beberapa tahun terakhir (serta menjadi pemilik mayoritas pembuat game gratis, Gamigo).
Pada saat ini TVSmiles dan PubNative “menyewa-menyewa” menyarankan kemitraan bisnis yang berkelanjutan. “Saat kami baru-baru ini masuk ke Connected TV, tumpukan teknologi canggih PubNative mendukung pertumbuhan kami yang berkelanjutan dan memungkinkan kami untuk memperluas bisnis kami secara internasional. Kemajuan dalam pengembangan bisnis sisi permintaan akan diperkenalkan secara bertahap di seluruh lini produk, ”kata Zach dalam pernyataan pers pada akhir tahun lalu.
Ditanya tentang sifat hubungan bisnis antara TVSmiles dan PubNative, Zach mengkonfirmasi bahwa ia menjual “orang dan teknologi tertentu” ke PubNative tetapi tetap mempertahankan aplikasi seluler dan basis pengguna, menambahkan: “Tidak ada data pengguna yang telah dibagikan dengan PubNative dan mereka tidak memiliki keterlibatan pada kasus ini.”
Namun dia mengkonfirmasi TVSmiles  menggunakan teknologi periklanan yang disediakan oleh PubNative.

“Teknologi ini (SDK) terintegrasi ke dalam aplikasi TVSmiles. Berbagi data terbatas pada yang diizinkan oleh

persetujuan pengguna untuk penggunaan iklan, ”tambahnya.
Analisis statis oleh Exodus menunjukkan aplikasi TVSmiles berisi lebih dari 40 pelacak – termasuk PubNative. Ini ditambah fakta bahwa repositori TVSmiles ditemukan oleh UpGuard untuk menyimpan data lokasi pengguna yang tepat adalah menarik mengingat laporan terpisah , yang diterbitkan pada bulan Januari, oleh Dewan Konsumen Norwegia (NCC) – yang menyelidiki bagaimana industri adtech mengeksploitasi secara tidak transparan data pengguna aplikasi.
Laporan NCC mengidentifikasi PubNative sebagai salah satu entitas yang menerima data GPS dari sejumlah aplikasi yang diuji (NB: tidak menguji aplikasi TVSmiles). Dewan menemukan sebagian besar aplikasi yang melakukan pengujian data yang dikirimkan ke entitas yang dikategorikan sebagai “pihak ketiga tak terduga” – yang berarti pengguna tidak diberi informasi dengan jelas tentang siapa yang mendapatkan informasi mereka dan apa yang sedang dilakukan dengan itu, dalam pandangannya.

SDK lain yang terkandung dalam aplikasi TVSmiles, per Keluaran dan daftar pemasok perangkat lunak dalam

kebijakan privasi TVSmiles , termasuk Iklan Facebook, Analytics, dan Places; Google Ads, Analytics, DoubleClick & lainnya; dan Twitter MoPub. Juga hadir: Daftar panjang pemain adtech dan pemasaran / monetisasi seluler yang lebih kecil, dari AdBuddiz hingga Vungle.
” Melihat melalui laporan Keluaran sebagian besar pelacak ini berasal dari teknologi periklanan yang sedang digunakan dalam aplikasi TVSmiles,” Zach juga mengatakan kepada kami.