Uma análise conduzida pela organização sem fins lucrativos norueguesa SINTEF revelou que a aplicação de encontros gay Grindr está a partilhar informação relativa ao HIV dos seus utilizadores com duas outras empresas.

A aplicação Grindr fez manchete novamente. Há alguns dias um relatório da NBC revelou que a aplicação tinha dois problemas de segurança (já corrigidos) e que poderiam ter expostos informações sensíveis de mais de 3 milhoões de utilizadores diários.

Um atacante podia tirar partido da app e com isso aceder a dados de localização, mensagens privadas para outros utilizadores e informações de perfil, mesmo se eles tivessem “assinalado” a opção para a não partilha desse tipo de informação.

Os problemas de segurança foram identificados por Trever Faden, CEO da startup Atlas Lane, enquanto ele trabalhava no seu projeto C*ckblocked, que permita aos utilizadores validar quem os bloqueava no Grindr.

Faden descobriu que depois de autenticar no sistema, era possível aceder uma enorme quantidade de dados respeitantes à sua conta, incluindo mensagens não lidas, endereços de e-mail e fotos removidas.

While the media were sharing the news, another disconcerting revelation was made by BuzzFeed and the Norwegian research nonprofit SINTEF, Grindr has been sharing data on whether its users have HIV with two outside companies, according to BuzzFeed and the Norwegian research nonprofit SINTEF.

SVT and SINTEF conducted an experiment the 7th of February 2018 to analyse privacy leaks in the dating application Grindr. This was realised for the Sweedish TV program “Plus granskar“, that you may watch online.” reported SINTEF.

“We discovered that Grindr contains many trackers, and shares personal information with various third parties directly from the application.”

Grindr-HIV-data

 

Os perfis incluem informações confidenciais, como informação de HIV, quando é a última vez que um utilizador é testado e se está em tratamento contra o HIV ou a pílula de prevenção do HIV PrEP.

“It is unnecessary for Grindr to track its users HIV Status using third-parties services. Moreover, these third-parties are not necessarily certified to host medical data, and Grindr’s users may not be aware that they are sharing such data with them.” added SINTEF.

 

O aspecto desconcertante dessa revelação é que a Grindr partilha a informação HIV dos utilizadores e as datas dos testes com duas empresas que ajudam a otimizar a aplicação. As empresas são a Apptimize e Localytics.

“The two companies — Apptimize and Localytics, which help optimize apps — receive some of the information that Grindr users choose to include in their profiles, including their HIV status and “last tested date.” BuzzFeed reports

“Because the HIV information is sent together with users’ GPS data, phone ID, and email, it could identify specific users and their HIV status, according to Antoine Pultier, a researcher at the Norwegian nonprofit SINTEF, which first identified the issue.”

 

Um grande problema é que estes dados não foram protegidos através de criptografia.

No entanto, o diretor de tecnologia da Grindr, Scott Chen, ressaltou que os dados foram partilhados “sob rigorosos termos contratuais que proporcionam o mais alto nível de confidencialidade, segurança de dados e privacidade do utilizador”.

De qualquer forma, a Grindr não vende os dados dos utilizadores a terceiros.

Num comunicado divulgado na tarde de segunda-feira, a Grindr confirmou que parou de partilhar os dados  HIV dos utilizadores.

A empresa também confirmou à CNNMoney que já apagou os dados de HIV da Apptimize, e está no processo remoção de todos os dados armazenados na Localytics.