martedì 28 maggio 2019

Snapchat: i dipendenti, con accesso ai dati sensibili, spiavano gli utenti


Snapchat è un app molto molto diffusa tra gli adolescenti e in questi giorni è al centro di un grosso scandalo che riguarderebbe proprio la privacy dei suoi giovani e giovanissimi utenti. E' stata Motherboard a ricostruire e rendere pubblica la vicenda, dopo aver messo le mani su diverse email interne girate tra vari dipendenti: in breve si parla di accesso abusivo ai dati degli utenti per spiarli. Sono stati alcuni ex dipendenti, che hanno deciso di rimanere anonimi, a fornire le email incriminate e rivelare un abuso senza controllo dell'accesso ai dati degli utenti. 

Quali dati Snapchat ha su di noi?
A Snapchat sono molteplici i tool che l'azienda fornisce ai dipendenti per accedere ai dati degli utenti: informazioni di ogni tipo ma sopratutto sensibili, alle quali spesso gli utenti non prestano molta attenzione laddove non ignorano palesemente anche solo di fornirli con le attività quotidiane sull'app. Qualche esempio? Il numero di telefono collegato all'account, la posizione geografica in qualsiasi momento, i metadata dei messaggi (che rivelano con chi e quando ci siamo scambiati messaggi) e, in alcuni casi, anche contenuti come le "memorie" o voto e video salvati. Tutti dati molto sensibili. 

SnapLion, ovvero "le chiavi del regno"
Per avere accesso a questi dati, Snapchat fornisce ai suoi dipendenti, tra gli altri, un tool chiamato SnapLion, definito da fonti interne come "le chiavi del regno" tanto è ampio il potere di accesso ai dati che concede. In realtà questo tool aveva originariamente una funzione precisa e limitata: raccogliere informazioni sugli utenti per rispondere a legittime richiede da parte delle forze dell'ordine (in casi come citazioni in giudizio o ordinanze del Tribunale).  Nel tempo però il suo uso è notevolmente mutato e l'azienda ha deciso di estenderne l'uso a più reparti, come il team "Spam and Abuse", il "Customer Ops" e tutto il team di sicurezza. In questi casi è stato usato come strumento contro il bullismo e le molestie ma.. ma gli ex dipendenti hanno raccontato che l'uso in pratica ha travalicato i confini del consentito ad opera di molteplici dipendenti, delineando veri e propri abusi e violazioni della privacy degli utenti.  

Scarsi controlli sugli accessi
Insomma, le concessioni di accesso ai dati sono state molto ampie e, inoltre, uno degli ex dipendenti ha anche fatto sapere che fino a pochissimo tempo fa non esisteva neppure un meccanismo efficace che consentisse di  mantenere l'elenco e il controllo degli accessi a SnapLion e delle operazioni svolte. V'è addirittura una email interna, tra quelle trapelate, dove i dipendenti discutono ampiamente del problema e di possibili contromisure: da queste emerge che lo spionaggio ai danni degli utenti non solo c'è stato molte volte, ma anche da parte di molteplici dipendenti. 

La consapevolezza degli utenti e la trasparenza delle aziende
Questa vicenda intreccia due temi essenziali: quello della consapevolezza degli utenti che utilizzano social e chat e la (spesso scarsa) trasparenza delle aziende che gestiscono tali servizi. 
Sono purtroppo molto pochi gli utenti che hanno chiaro o prestano attenzione al fatto che, dietro ai prodotti che usiamo quotidianamente, ci sono persone che hanno accesso a dati estremamente sensibili: in alcuni casi sono informazioni necessarie per il mantenimento del servizio, in alcuni casi assolutamente no. Così come in alcuni casi l'accesso anche a dati sensibili è legittimo e in altri casi no. Nella vicenda Snapchat è sicuramente mancato un meccanismo di controllo che rendesse possibile l'accesso ai dati sensibili quando necessario, ma ne impedisse l'abuso. Poi c'è la trasparenza delle aziende: la chiarezza delle informative sul trattamento dati, la completezza (vi sono migliaia di casi di dati la cui raccolta viene omessa nell'informativa accettata dal cliente) delle stesse e il livello di sicurezza dei dati. Snapchat già nel 2014 fu multata dalla Federal Trade Commission statunitense per non aver esplicitato la raccolta, il salvataggio e la trasmissione della geolocalizzazione degli utenti.

Nessun commento:

Posta un commento