Cerca nel blog

2018/01/30

App di fitness rivela attività militari di tutto il mondo. E anche quelle dei civili

Ultimo aggiornamento: 2018/01/30 9:50.

Quando gli esperti di sicurezza parlano della necessità di tutelare la privacy digitale e di non lasciare che le aziende possano raccogliere disinvoltamente dati sulle nostre attività capita spesso di sentire l’obiezione “Ma tanto io non ho niente da nascondere, e poi cosa vuoi che se ne facciano dei miei dati?”.

Una dimostrazione eloquente e un po' inquietante di quello che si può fare con dati apparentemente innocui se li si aggrega e analizza è arrivata proprio pochi giorni fa: gli esperti si sono accorti che i dati combinati dei braccialetti digitali di fitness rivelano l’ubicazione delle basi militari in vari paesi del mondo, compresi molti luoghi estremamente sensibili o segreti.

Molti utenti di questi dispositivi riversano le proprie passeggiate, corse, pedalate, nuotate, sciate o vogate in app come Strava, che si definisce un “social network per atleti”. Lo fanno per tracciare i propri progressi o per competere via Internet con altri utenti. Questi dati includono la distanza percorsa, la velocità e le calorie consumate e anche la geolocalizzazione. Gli utenti possono scegliere di non condividere questi dati, ma molti li lasciano liberamente accessibili. Tanto che male c’è? Anzi, magari c’è da mostrare agli amici qualche risultato.

Ma a novembre scorso Strava ha deciso di rendere pubblica su Internet una dettagliatissima mappa mondiale interattiva dei percorsi seguiti dai suoi utenti [circa 27 milioni] nel corso del tempo: circa un miliardo di attività [tre trilioni di coordinate latitudine-longitudine, 10 terabyte di dati]. In questa mappa i percorsi più frequentati sono evidenziati da linee più luminose.

Bell’idea, però quando queste linee tracciano percorsi in zone desertiche o interessate da conflitti, rivelano la presenza di una categoria di persone che comprensibilmente svolgono molta attività fisica: i militari, che per esempio fanno jogging dentro e intorno alle proprie basi, facendole così spiccare luminose nelle zone altrimenti disabitate e disegnandone i contorni e le forme interne, perché non hanno disabilitato la geolocalizzazione e non hanno attivato le opzioni di protezione della privacy offerte da Strava.

























Nei paesi in guerra questi dati rischiano di essere sfruttabili per esempio per un’imboscata o un attacco. La mappa, infatti, è consultabile da chiunque, ed è facile anche estrarne i dati individuali e scoprire i nomi degli utenti e i rispettivi percorsi abituali: dati perfetti per pedinare o rapire qualcuno. Su Twitter fioccano così le segnalazioni di installazioni militari sensibili di vari paesi, per esempio in Siria e in Afganistan, messe a nudo dalla decisione di Strava di rendere pubblici i propri dati senza pensare alle conseguenze, ma anche dalla mancanza di consapevolezza da parte di chi usa questi dispositivi e queste app di fitness in zone a rischio.







Anche se non vivete in una zona di guerra e non siete militari, affidare informazioni sensibili come la vostra posizione e i vostri percorsi abituali ad aziende che poi le pubblicano e le offrono a chiunque vi espone al rischio di stalking e altre molestie. Ne vale la pena, per potersi vantare delle proprie prodezze sportive? Pensateci: se la risposta è no, trovate la maniera di spegnere la geolocalizzazione.




Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 30 gennaio 2018. Fonti: The Verge, Hacker News, Ars Technica, The Register, Washington Post, Electronic Frontier Foundation.


Aggiornamento: 2018/01/30 9:50


Strava ha pubblicato un post di chiarimento, dal quale cito e traduco: “ci siamo resi conto nel corso del fine settimana che i membri di Strava nelle forze armate, fra gli operatori umanitari e altri che vivono all’estero possono aver condiviso la propria localizzazione in zone prive di altra densità di attività e così facendo possono aver inavvertitamente aumentato la consapevolezza di luoghi sensibili”. Ma pensarci prima di pubblicare la mappa no? Il post ricorda anche le istruzioni di privacy di Strava.

Più in generale, questa vicenda sottolinea tre principi di fondo:

  • ogni dato personale è abusabile;
  • affidare i propri dati personali a un’azienda motivata dal guadagno su quei dati è irresponsabile;
  • sperare che quella società commerciale custodisca diligentemente i nostri dati invece di monetizzarli è una pia illusione.

Ora pensate a tutto quello che avete riversato in Facebook in questi anni. Non dite che non ve l’avevamo detto.

Nessun commento: