Begin 2025 bleek dat hackers erin zijn geslaagd locatiegegevens van miljoenen gebruikers te stelen doordat ze inbraken bij een data-broker die locatiedata verzamelt uit duizenden apps via advertentienetwerken en realtime biedsystemen (real-time bidding). Deze data, afkomstig uit apps als Candy Crush, Tinder en vele anderen, werd daarbij buitgemaakt en online gezet.
Voor bedrijven die geautomatiseerd advertentieruimte inkopen, illustreert dit incident hoe complex de supply chain van mobiele data en advertentietechnologie eigenlijk is en hoe kwetsbaar deze keten kan zijn voor cyberincidenten.
Hoe locatiegegevens in de advertentieketen terechtkomen
Veel gratis apps genereren inkomsten via advertenties. Hiervoor worden gebruikersdata, zoals gedrag, demografie en locatie, verzameld en doorgegeven binnen een netwerk van technologiepartners, waaronder advertentienetwerken, data-verkopers en realtime biedplatforms. Deze data wordt gebruikt om advertenties relevanter te maken en campagnes te optimaliseren.
Belangrijk voor de advertentie kopers:
- De data die je gebruikt om biedingen te richten komt vaak niet rechtstreeks van de app-ontwikkelaar, maar via derde partijen in de advertentieketen.
- Deze keten bestaat uit technologie-providers, DSP’s (Demand-Side Platforms), SSP’s (Supply-Side Platforms), data-brokers en netwerken die realtime data distribueren en verhandelen.
Als één partij in deze keten wordt gecompromitteerd, zoals een data-broker, kan dat risico’s introduceren voor iedereen die afhankelijk is van die data voor advertentiedoeleinden.
Supply chain risico’s voor advententie kopers
Onbekende datastromen
Veel van de locatiegegevens die worden verkocht zijn niet transparant verzameld door de app-ontwikkelaars zelf, maar via advertentie-ecosystemen zonder dat zij of de eindgebruikers zich daarvan bewust zijn. Als die ecosystemen worden gehackt, staat alle betrokken data op straat.
Reputatierisico door indirecte betrokkenheid
Wanneer een data-leverancier of advertentietechnologiepartner een breach heeft, kan de data die advententiekopers gebruiken gevoelige informatie bevatten die meer onthult dan bedoeld. Locatiegegevens kunnen bijvoorbeeld volgen waar mensen wonen, werken of welke zorginstellingen ze bezoeken, informatie die gebruikers als privé beschouwen.
Regelgevings- en compliance-risico’s
In de Europese context gelden strenge privacy-regels zoals de AVG. Zelfs als een bedrijf op papier conform werkt met data-leveranciers, kan een datalek of ongeautoriseerde dataverzameling bij een externe partner compliance-problemen veroorzaken, denk aan boetes of sancties door gebrek aan controle over derden.
Voor adverteerders en inkopers: lessen uit de hack
1. Breng je data-supply chain in kaart
Zorg dat je weet welke partners betrokken zijn bij het verzamelen, verwerken en leveren van de data die je gebruikt voor je programmatic campagnes. Dit helpt om risico’s inzichtelijk te maken voordat ze tot problemen leiden.
2. Vraag transparantie van data-leveranciers
Vraag partners om duidelijke informatie over hoe en waarvandaan data verzameld wordt, en op welke wijze ze zorgen voor beveiliging en compliance. Niet alle data in real-time biedsysteemketens is gelijk, verschillen in bronnen betekenen verschillen in risico.
3. Monitor actief je leveranciers
Cyberincidenten bij een data-partner kunnen jouw campagnes en doelgroepdata direct beïnvloeden. Actieve monitoring, en audits zijn onderdeel van goed risicobeheer.
Conclusie
De recente hack van een data-broker waarbij locatiegegevens van gebruikers van populaire apps zijn gestolen laat zien hoe supply chain risico’s diep kunnen zitten in de digitale advertentieketen, vaak op plekken waar inkopers zelf weinig zicht op hebben. Voor bedrijven die geautomatiseerd advertentieruimte inkopen betekent dit dat effectieve risico-analyse verder moet gaan dan de DSP, SSP of data-provider waar je rechtstreeks mee werkt. Je moet de hele keten begrijpen en beveiligen.
Supply chain risico’s raken niet alleen de privacy van mensen, maar kunnen ook je advertentie-efficiëntie, je compliance en reputatie aantasten, als je afhankelijk bent van data die via deze complexe ecosystemen circuleert.
