DN har tidigare granskat handeln med platsdata – uppgifter från gps och liknande teknik som visar hur användaren rör sig – information som vissa mobilappar samlar in och skickar vidare. Mottagarna, ofta specialiserade datahandelsbolag, sammanställer dem i databaser som säljs öppet eller på andra sätt erbjuds för kommersiella ändamål.
Redan 2019 kunde DN visa hur en sådan databas, trots att den beskrevs som anonymiserad, enkelt pekade ut enskilda svenskar som utan sin vetskap hade fått sitt rörelsemönster kartlagt.
Nu framkommer nya uppgifter om sådan handel med information om människors rörelsemönster. Det handlar om ett USA-baserat dataföretag, som med delvis andra metoder har skapat en jättelik databas över var användare befinner sig och hur de rör sig. Från appar vars utvecklare kanske inte ens vet att det pågår.
Datasamlingen kommer från det amerikanska företaget Datastream group, som också använder namnet Datasys.
Det är en ögonblicksbild, från en enda dag i juli 2024, som företaget använder som ett smakprov för att locka kunder att köpa ännu mer data. Ändå är omfattningen enorm: 380 miljoner registrerade positioner. Från mobiler i 137 länder, bland annat i Sverige. Omkring 40 000 appar. Allt från spel, väderappar och dejtingtjänster.
Databasen har granskats av den tyska organisationen Netzpolitik.org och ett internationellt mediesamarbete, där DN har ingått. Datastream group har inte svarat på förfrågningar från medienätverket.
Hur detaljerade de loggade positionerna är varierar mellan olika appar. Vissa är på gps-nivå, vilket betyder att man kan följa personen i princip meter för meter. Många andra är bara spårade via ip-adressen, vilket inte alls ger lika exakta positioner. Men det kan avslöja till exempel en utlandsresa eller i vissa fall vilken stad eller stadsdel man befinner sig i. Och eftersom databasen även innehåller ett unikt id-nummer som används för annonsering finns möjligheten att samköra den med andra databaser, och därmed identifiera enskilda personer.
Drygt 12 000 sådana id-nummer i databasen kan kopplas till Sverige. Det ger en fingervisning om hur spårningen pågår även här, men behöver inte direkt motsvara antalet personer.
Bland apparna finns några av världens största. Den tyska väderappen Wetter online. Meddelandetjänsten Kik. Det svenskutvecklade spelet Candy crush saga och Flightradar24, som används för att spåra flygtrafik.
Men där finns också appar som hanterar hälsodata, dejting för sexuella minoriteter och religionsrelaterade appar som avslöjar användarens tro.
Många av företagen bakom apparna, bland dem Candy crush och Flightradar24, har inte svarat på frågor om uppgifterna i databasen. Värt att notera är att Candy crush, det extremt populära spel som utvecklas av Stockholmsbaserade spelbolaget King, bara har den ip-baserade, mindre detaljerade loggningen i databasen.
Men andra appföretag har svarat, och då sagt att de inte har någon affärsrelation till datahandelsföretaget Datastream group. De ställer sig därför frågande till hur uppgifter från deras appar, inte sällan känsliga för användarna, har hamnat hos bolaget.
Exakt hur informationen har sammanställts är därför oklart. Men sannolikt är det kopplat till reklam i apparna. När de kopplas upp mot avancerade system som styr reklam över nätet i realtid skickas även personliga uppgifter om användarna mellan olika parter – och tycks här ha blivit en handelsvara i sig.
Företaget bakom appen Hornet, en queerdejtingtjänst, är en av få som har svarat på frågor från nätverket. Vd:n Christof Wittig säger att han inte kan utesluta att ett reklamnätverk kan ha skickat data vidare utan samtycke, men blir förvånad när han får se hur detaljerade platsuppgifter det rör sig om.
– Under inga omständigheter delar Hornet avsiktligt verklig geodata, säger han och lovar att Hornet ska utreda vad som har hänt.
Nyligen avslöjades en liknande handel med personuppgifter, när företaget Gravy analytics hackades av en grupp som kräver en lösensumma för att inte läcka allt den har kommit över. Redan finns dock en del av den stulna informationen ute, och den visar ett liknande mönster av hur platsdata, som sannolikt kommer från annonsnätverk, bjuds ut till försäljning.
