La app di incontri gay è stata accusata da un'organizzazione no-profit di aver abusato dei dati sensibili dei propri utenti ...
Giulia Trincardi per Motherboard
All’indomani dello scandalo di Cambridge Analytica — in cui i dati Facebook di milioni di inconsapevoli americani sono stati prelevati e utilizzati per forgiare uno strumento di vera e propria manipolazione delle informazioni —, una cosa è diventata dolorosamente chiara: l’abuso dei dati utente su social media e app è una faccenda seria e complessa.
Ora, stando a un’analisi pubblicata su GitHub questa settimana dall'organizzazione no-profit norvegese SINTEF, Grindr — la popolare app di incontri per gay e bisessuali — avrebbe fornito diverse informazioni sui propri utenti ad aziende di terze parti. Oltre a posizione GPS, sottocultura gay di appartenenza, sessualità e informazioni sul telefono in uso — in parte condivise in modo non sicuro, tramite protocollo HTTP anziché HTTPS —, Grindr avrebbe dato accesso a due servizi di ottimizzazione anche alle informazioni relative alla condizione di sieropositività dei propri utenti.
Da alcuni anni, infatti, Grindr offre ai propri utenti la possibilità di dichiarare il proprio “HIV status,” nella app, scegliendo tra le opzioni “negativo,” “positivo,” o “negativo sotto PrEP” (che indica l’assunzione di un farmaco risultato efficace nella prevenzione dell’infezione da HIV).
Lo spettro di malattie come HIV e AIDS ha condizionato socialmente la comunità omosessuale per decenni e le app di dating sono state spesso accusate di trascurare un problema di cui potrebbero essere, almeno in parte, soluzione. Il fatto che la politica di apertura di Grindr abbia alimentato nel tempo tanto minacce e ostilità verso gli utenti sieropositivi, quanto una nuova sensibilizzazione verso la condizione, sottolinea quanto sia importante trattare i dati relativi con la dovuta discrezione.
“Non è necessario per Grindr tracciare lo stato HIV dei propri utenti usando servizi di terze parti,” si legge nel report pubblicato dall’istituto di ricerca norvegese SINTEF. “Inoltre, questi [servizi] di terze parti non dispongono dei certificati necessari per gestire dati medici e gli utenti di Grindr potrebbero non essere consapevoli di star condividendo le proprie informazioni.”In aggiunta, prosegue il report, in alcuni casi le informazioni condivise non sono criptate; il che permette — almeno in linea teorica — a governi o aziende di capire dove si trovi e che aspetto e gusti abbia un certo utente di Grindr. In altre parole, “condividendo informazioni di questo tipo in modo non protetto, Grindr espone i propri utenti.” Apptimize e Localytics — le due aziende di terze parti con cui Grindr avrebbe condiviso in particolare l’HIV status dei propri utenti — offrono servizi di ottimizzazione per app, ma, come conferma un report parallelo su Exodus, i software di tracking che i ricercatori hanno scoperto analizzando il codice sorgente di Grindr su Android e iOS sono, al momento, almeno 17 in totale.
In seguito alla pubblicazione dell’analisi di SINTEF su GitHub e del primo articolo di BuzzFeed News relativo, il capo della sicurezza di Grindr Bryce Case ha dichiarato, sempre a BuzzFeed News, che la app sospenderà la condivisione delle informazioni sull’HIV status con i due servizi di ottimizzazione, per quanto, ha spiegato Case, sarebbero stati solo due “tool per aiutare app come Grindr a funzionare meglio,” in occasione del lancio di una nuova feature — che ricorda agli utenti di sottoporsi agli esami per l'HIV ogni tre o sei mesi.
In un post pubblicato sul Tumblr della app, l’azienda ha spiegato che non ci sarebbe mai stato scopo di lucro, né cattive intenzioni nelle loro azioni, e che il loro obiettivo è da sempre promuovere la salute e la sicurezza dei propri utenti e della comunità queer in generale — nonostante non sia la prima volta che Grindr si ritrova accusata di trascurare problemi di sicurezza intrinsechi, che possono mettere in condizioni di serio rischio la stessa comunità di cui promette di prendersi cura. Il report di SINTEF su GitHub è stato nel frattempo rimosso, ma è possibile consultare una versione cache del post.