Gli hacker non hanno bisogno di un invito per raccogliere i dati degli utenti su Clubhouse

redazione

Clubhouse è un nuovo social network basato sulla voce, il cui bacino di utenti è cresciuto in modo significativo negli ultimi mesi. È diventato la tendenza del momento perché offre agli utenti la peculiare possibilità di stabilire una vicinanza digitale con personaggi famosi, come Elon Musk, Drake, Oprah Winfrey o Kevin Hart. Purtroppo, già pochi giorni dopo il suo lancio la piattaforma ha subito una violazione dei dati, ma non è di certo un’eccezione nel panorama dei social media. Clubhouse è solo una delle numerose app che offrono un accesso diretto ai dati e alle informazioni personali degli utenti.

Il suo modello su invito, attualmente disponibile solo per iOS, ha determinato un elemento di esclusività. Gli utenti possono partecipare sia privatamente che nei canali pubblici, dove vengono discussi argomenti di ogni tipo. Su Clubhouse gli utenti possono seguirsi a vicenda e creare delle room di discussione, particolarmente incoraggiate dalla piattaforma per favorire la socialità e la crescita della rete. Ma al di là dell’entusiasmo con cui è stata accolta l’app resta una questione cruciale: la privacy e la sicurezza dei dati personali degli utenti.

1.      I protocolli di sicurezza e privacy non sono stati invitati nel club

La maggior parte delle persone non presta attenzione all’informativa sulla privacy dei social media emergenti, una distrazione dalle conseguenze importanti perché alcuni possono violare anche in modo serio il diritto alla protezione e alla salvaguardia dei dati personali. Allo stato attuale Clubhouse non soddisfa i principi di base del diritto dell’UE e viola la maggior parte dei requisiti legali in materia di privacy e riservatezza dei dati, come ha evidenziato Alexander Hanff, difensore della privacy e co-fondatore di SynData AB, in un post LinkedIn su Clubhouse.

Il sistema proposto da Clubhouse che consente di suggerire l’app agli amici si basa principalmente sull’accesso ai propri contatti personali: senza concedere l’autorizzazione non è possibile invitare qualcuno sulla piattaforma, in caso contrario l’app mostrerà i contatti della propria rubrica che sono già iscritti. Periodicamente solleciterà gli utenti nell’invitare chi non ne fa ancora parte e invierà una notifica non appena qualcuno dei contatti si sarà iscritto.

Inoltre, se si desidera usufruire del “Single Sign On” (utilizzando Twitter o altre credenziali di social media per accedere a Clubhouse), la piattaforma estenderà il proprio accesso a tutti i contatti, i contenuti e le informazioni sull’account presenti sugli altri social media. Tutto ciò viola i requisiti imposti dal GDPR, il regolamento del diritto dell’UE sulla protezione dei dati e sulla privacy. Il GDPR affronta anche il tema del trasferimento di dati personali al di fuori delle aree UE e SEE, un altro problema ravvisato in Clubhouse. È bene sapere che i dati raccolti dall’app saranno trasferiti negli Stati Uniti, senza una base giuridica valida.

2.      Le conversazioni non sono protette dalla crittografia end-to-end

Consultando l’informativa sulla privacy di Clubhouse si legge che: “Al solo scopo di supportare le indagini in caso di criticità, registriamo temporaneamente l’audio mentre una room è in diretta. Se un utente segnala una violazione di affidabilità e sicurezza mentre la room è attiva, conserviamo l’audio ai fini dell’indagine sull’inconveniente, per poi eliminarlo al termine dell’analisi di quanto accaduto. Se nella room non vengono segnalati problemi, eliminiamo la registrazione audio temporanea al termine della diretta.” In altri termini, il contenuto audio viene eliminato non appena termina la diretta nella room, a meno che non sia in corso un’indagine su un inconveniente. Ciò significa anche che i contenuti non sono protetti dalla crittografia end-to-end, aspetto che viola le norme imposte dalla direttiva ePrivacy (2002/58/CE). Il diritto dell’UE stabilisce infatti la necessità della riservatezza nelle comunicazioni e afferma che l’intercettazione di tali comunicazioni può avvenire legalmente solo con il consenso di tutte le parti coinvolte in tale comunicazione.

3.      Profilazione

Le vulnerabilità nel trattamento dei dati sensibili degli utenti riguardano non soltanto le conversazioni, in quanto la piattaforma “raccoglie contenuti, comunicazioni e altre informazioni fornite, compreso quando si crea un account, si creano o si condividono contenuti, si inviano messaggi o si comunica con altri”, come dichiarato nella pagina dell’Informativa sulla privacy. Inoltre può scegliere di “raccogliere informazioni sull’utilizzo del servizio, come i tipi di conversazioni a cui si partecipa, i contenuti condivisi, le funzionalità utilizzate, le azioni intraprese, le persone o gli account con cui si interagisce e l’ora, la frequenza e la durata di utilizzo”. Non viene però chiarito in che modo l’app gestisca i dati personali raccolti.

4.      Condivisione dei dati personali altrui

L’utilizzo di Clubhouse potrebbe nascondere due insidie di cui tener conto: la potenziale violazione dei requisiti legali in materia di privacy e riservatezza dei dati, nonché i rischi connessi alla condivisione dei dati personali altrui. Per garantire il funzionamento infatti, Clubhouse chiede agli utenti di concedere l’accesso al loro elenco di contatti per invitare gli amici a utilizzare la piattaforma e questo aspetto include i loro numeri di telefono.

Il diritto dell’UE stabilisce che è necessario avere il consenso di una persona per condividere i suoi dati personali con un’entità commerciale di terze parti. Contestualmente, un’azienda non può utilizzare dati personali forniti da una terza parte (in questo caso, un utente privato), a meno che tali dati non siano stati forniti in modo lecito. La divulgazione dei dati personali senza consenso non è lecita.

5.      L’interesse degli utenti per Clubhouse viene sfruttato dai cyber-criminali

Oltre ai problemi di privacy e sicurezza, l’interesse degli utenti per la piattaforma social può essere sfruttato dai criminali informatici come valida occasione per monetizzare attraverso la vendita di falsi inviti e false app per Android, nonché per installare codici dannosi sui dispositivi degli utenti o per registrare conversazioni che come evidenziato non sono crittografate.

Clubhouse è disponibile solo su iPhone ed esclusivamente attraverso un sistema di inviti, eppure su eBay, Craigslist e su alcuni gruppi privati di Facebook ci sono già utenti che vendono inviti, il cui prezzo oscilla tra i 20 e i 100 dollari.

La minaccia di potenziali malware è un altro problema ipotizzato dagli esperti di Avira. Anche se probabilmente tutti quelli che hanno sentito parlare di Clubhouse sanno che è disponibile solo per iPhone, l’app figura ancora tra le più ricercate su Google Play Store: ciò può aprire le porte ai criminali informatici che creano applicazioni false e installano codici dannosi sui dispositivi degli utenti.

Senza dubbio Clubhouse apporterà dei cambiamenti, migliorando le policy relative alla sicurezza e alla privacy alla luce di uno scenario informatico come quello odierno in cui è indispensabile dare il giusto peso a questi aspetti.