De Amerikaanse grenspolitie Customs and Border Patrol (CBP) heeft data van online advertenties gekocht om de exacte locatie van mensen te kunnen volgen. Dat meldt 404 Media op basis van een door de Amerikaanse overheid vrijgegeven document. De locatiegegevens worden verzameld via Software Development Kits (SDK's) en Real Time Bidding (RTB) waar smartphone-apps gebruik van maken, en gecombineerd met het Advertising ID van de smartphone.

App-ontwikkelaars kunnen binnen hun app een SDK gebruiken, bijvoorbeeld voor het tonen van advertenties om zo inkomsten te genereren. Ook zijn er SDK-aanbieders die app-ontwikkelaars geld betalen voor het toevoegen van de SDK aan hun app. Wanneer gebruikers van de app die toegang tot hun locatiegegevens geven, gaat deze data ook naar de ontwikkelaar van de SDK. Die kan de op deze manier verkregen data weer aan andere partijen doorverkopen. Volgens de Amerikaanse burgerrechtenbeweging EFF weten veel app-ontwikkelaars niet dat locatiegegevens van hun gebruikers zo bij derde partijen terechtkomen.

De andere methode waardoor het mogelijk is om Advertising ID's en locatiegegevens te verzamelen is het gebruik van Real Time Bidding. Elke keer dat iemand een website bezoekt of app gebruikt waar advertentieruimte beschikbaar is, kijkt een advertentiebedrijf welke advertentie de bezoeker te zien moet krijgen. Hiervoor wordt er allerlei informatie over de bezoeker verzamelt en naar duizenden potentiële adverteerders gestuurd.

Dit worden ook wel "bid requests" genoemd en bevatten vaak allerlei persoonlijke informatie van internetgebruikers, zoals hetgeen dat de bezoeker leest of bekijkt, gps-coördinaten, informatie over het gebruikte apparaat, uniek tracking-ID en ip-adres. Deze informatie in het bid request wordt de "bidstream data" genoemd. Op basis van deze informatie bepalen adverteerders of ze willen bieden op de beschikbare advertentieruimte om zo advertenties aan de betreffende bezoeker te tonen. Bedrijven kunnen zo gericht adverteren.

De hoogste bieder mag uiteindelijk de advertenties tonen, maar de bidstream data gaat naar alle adverteerders of advertentiebedrijven die hen vertegenwoordigen, ook die geen bod op de advertentieruimte deden. Het document dat de Amerikaanse autoriteiten vrijgaven betreft een pilotprogramma dat van 2019 tot en met 2021 plaatsvond. "Onthullingen over het gebruik van deze locatiegegevens door de overheid laat zien hoe gevaarlijk online tracking is geworden, maar we zijn niet machteloos", aldus de EFF. Dat roept mensen op om de advertising ID op hun telefoon uit te schakelen en alle apps te controleren die toegang tot de locatie hebben.

"Apps die toegang tot je locatie hebben kunnen het met andere bedrijven delen, dus zorg ervoor dat je alleen toestemming geeft aan apps die het echt nodig hebben om te functioneren. Als je locatietoegang niet volledig voor een app kunt uitschakelen, beperk het dan tot alleen wanneer je de app gebruikt of alleen een locatie bij benadering in plaats van de exacte locatie", aldus de burgerrechtenbeweging. Daarnaast wil de EFF een verbod op het gebruik van exacte locatiegegevens voor gerichte advertenties en het verwijderen van advertising ID's van telefoons, of anders het standaard uitschakelen ervan. Apple heeft het advertising ID standaard uitgeschakeld.