Waarom marketeers en inlichtingendiensten dol zijn op Angry Birds
Het lijkt zo’n lekker onschuldig spelletje: rare varkens kapot schieten met grappige vogeltjes. Maar Angry Birds (twee miljard downloads!) heeft ook een minder grappige kant: het spelletje verzamelt veel data en stuurt die door naar verschillende advertentieplatforms. Vaak onbeschermd.
Dat was de NSA en de Britse inlichtingendienst GCHQ ook al opgevallen. Eind januari werd bekend dat ze jarenlang het dataverkeer van Angry Birds onderschepten, omdat ze daarmee inzicht kregen in de eigenaars van smartphones: leeftijd, geslacht, locatie, contactgegevens. Rovio, de Finse maker van Angry Birds ontkende samen te werken met de inlichtingendiensten. Vermoedelijk onderschepten de NSA en GCHQ de data van de advertentieplatformen die aan Angry Birds gekoppeld zijn.
Sinds januari lijkt Rovio niet veel te hebben geleerd. In een interessante blogpost leggen onderzoekers van het cybersecurity-bedrijf Fire Eye de datastromen achter Angry Birds bloot. Ze hebben de laatste versie bekeken (van de klassieke Angry Birds), die begin maart is geüpdatet.
Het grootste datalek zit in de user accounts. Spelers worden aangemoedigd om een account bij Rovio te openen. Ze kunnen dan op verschillende toestellen hetzelfde spelletje spelen, hun scores bijhouden en op de hoogte blijven van nieuwe versies van Angry Birds. Dit account levert Rovio veel gebruikersgegevens op: de naam, leeftijd, e-mailadres, land en sekse. Ruim 250 miljoen mensen hebben zo’n account aangemaakt.
Die data worden vervolgens naar twee partijen gestuurd. De eerste is de cloud van Rovio zelf. De tweede is Burstly, een online platform dat advertentieruimte verkoopt aan andere adverteerders, in dit geval het Amerikaanse bedrijf Millennial Media.
Ook Burstly krijgt alle profielinformatie. Daarnaast verzamelt het platform ook nog gegevens over je toestel: zoals uniek toestelnummer, type smarthpone, ip-adres, etc. Burstly geeft je vervolgens een unieke ID waarmee je verder getracked kunt worden. Tevens stuurt Burstly deze gegevens weer door aan Millennial Media, zodat je profielgegevens inmiddels in drie databases staan.
Saillant is dat deze informatie onbeschermd, dus niet versleuteld, wordt verstuurd. Met huis-tuin-en-keukensoftware is het een eitje om dit soort informatie af te vangen.
Lees hier de (nogal technische) uiteenzetting van Fire Eye Lees hier hoe de NSA en GCHQ zich op apps hebben gestort