I dati personali degli oltre 3,6 milioni di utenti iscritti a Grindr, la popolare applicazione di appuntamenti dedicata alla comunità maschile gay e bisessuale, sarebbero stati condivisi dalla società americana – a maggioranza di quote cinesi – con altre due compagnie. A renderlo noto è stato il sito americano BuzzFeed.
A scoprire il caso sono stati il network svedese SVT e l’associazione nonproft norvegese SINTEF: il 7 febbraio hanno analizzato le falle della dating app, scoprendo che Grindr condivide le informazioni personali degli iscritti con altre compagnie e lo fa direttamente dalla app. I dati inviati comprendono fra le altre cose la posizione GPS, l’indirizzo email, l’età, il peso e l’altezza ma anche quello che viene definito “status HIV”, ovvero la data e i risultati dell’ultimo test, che gli utenti possono decidere se inserire o meno al momento della registrazione alla app. Foto e contenuti dei messaggi non risulterebbero condivisi.
A ricevere i dati sono le società di ottimizzazione di app per mobile Apptimize e Localytics. La seconda viene definita “un’azienda che ha creato una app web e per dispositivi mobili che offre a grandi marchi (tra i quali eBay) strumenti di marketing e di analisi per valutare le prestazioni delle loro applicazioni. Il software dell’azienda, che ha sede a Boston, viene utilizzato in più di 37mila app e in oltre 3 miliardi di dispositivi al mondo”.
I risultati dell’indagine, che sono stati validati anche da esperti di cybersecurity contattati da BuzzFeed, proverebbero l’esistenza di un rischio per la privacy degli iscritti soprattutto per quanto riguarda le informazioni sul test per l’HIV. “Questi dettagli vengono connessi a tutti gli altri – ha spiegato a BuzzFeed il ricercatore Antoine Pultier – ed è l’aspetto più grave della vicenda perché potrebbe essere dovuto alla semplice incompetenza degli sviluppatori che non hanno pensato di tutelare la diffusione dei dati sanitari”.
Per gli autori della ricerca, Grindr dovrebbe non monitorare le informazioni mediche e, soprattutto, le società che ricevono questi dati non sarebbero autorizzate a trattarli. Non solo: gli iscritti non sarebbero a conoscenza della condivisione. Inoltre tutte le informazioni vengono condivise in modo non criptato.
La falla è stata individuata decompilando il codice sorgente di Grindr per Android e scoprendo così alcuni software di tracciamento tra i quali Localytics, Smatoop ma anche Facebook. La app è stata scaricata su due cellulari, uno Android e un iPhone con iOS, e sono stati creati i profili di due persone che hanno iniziato a usarla. Il traffico di rete è stato analizzato attraverso un attacco “man in the middle”.
Solo una settimana fa l’azienda aveva lanciato un servizio di reminder per i test HIV: un servizio gratuito che ogni tre o sei mesi invia un messaggio agli iscritti ricordando loro di effettuare l’esame e indicando il servizio più vicino che offre il test.
Negli Usa inoltre cliniche, comunità gay e altre strutture interessate potranno fare pubblicità gratis sull’opportunità di controllarsi. “La mossa servirà a ridurre la trasmissione del virus Hiv – ha affermato Jack Harrison-Quintana, direttore di Grindr per l’uguaglianza – e a supportare la nostra comunità, indipendentemente dallo status rispetto all’Hiv -, nel vivere vite lunghe e appaganti”.
L’iniziativa, riporta il New York Times, è stata accolta con favore dagli esperti. “E’ una decisione eccellente – afferma ad esempio Perry N. Halkitis, della Rutgers School of Public Health -, perchè ‘demedicalizza’ il test e ne elimina lo stigma. Più si rende normale controllarsi più persone lo faranno”.