Il gruppo catalano Vts Media ha lasciato senza protezioni un database contenente informazioni sulle sessioni di collegamento, sugli username e anche sulle preferenze degli utenti
Diversi siti specializzati in spettacoli di “camgirl”, cioè show pornografici in streaming e on demand, hanno esposto milioni di utenti e di lavoratrici coinvolte nei servizi perché l’azienda proprietaria ha lasciato il database senza protezione. Sotto accusa la catalana Vts Media che gestisce piattaforme hard come amateur.tv, webcampornoxxx.net e placercams.com. La maggior parte di questi siti è basata in Spagna (secondo Alexa, il sito di analisi del traffico online, il primo è uno dei più popolari nella penisola iberica) e in altri Paesi europei ma gli utenti vengono da tutto il mondo, Stati Uniti inclusi.
Informazioni sulle sessioni di connessione e sulle attività e altri dati popolavano il database, lasciato per settimane nella piena disponibilità di chiunque e senza protezioni particolari. In quei registri erano archiviati in modo dettagliato gli estremi di collegamento degli utenti, inclusi username e a volte anche indirizzi IP e altri elementi utili a una triangolazione per identificare l’utente. Non solo, i file di log includevano anche le chat private degli utenti con altri utenti e le mail promozionali ricevute da diversi siti. Oltre agli username non mancavano sessioni fallite e password in piena evidenza.
Le preferenze degli utenti
A quanto pare, secondo le scoperte della società di sicurezza informatica Condition:Black, dal database erano ricavabili anche quali video gli utenti avessero guardato e noleggiato, così esponendo le preferenze sessuali di centinaia di migliaia di persone. Insomma, in sostanza era possibile capire quale utente si fosse collegato, da dove e spesso ricavare altri dati come indirizzi e-mail facilmente collegabili ad altri profili ben più espliciti, per esempio sui social network. Anche molti account delle cosiddette “camgirl”, le lavoratrici che trasmettono spettacoli erotici in chat private o pubbliche, sarebbero stati coinvolti. L’archivio è stato chiuso solo la scorsa settimana.
“Si è trattato di un serio problema da un punto di vista tecnico e di conformità” ha spiegato John Wethington, fondatore della società che ha individuato l’incredibile falla e l’ha segnalata al gruppo, diffondendo la notizia solo a situazione sistemata. “Dopo aver controllato la privacy policy relativa ai dati e i termini e le condizioni del servizio dei siti, era chiaro che gli utenti non potessero avere idea che le loro attività fossero tracciate e monitorate così in profondità”. Gli utenti, ha aggiunto Wethington, dovrebbero sempre tenere in considerazione le implicazioni di un eventuale furto o compromissione dei loro dati ma “specialmente nei casi in cui queste implicazioni potrebbero stravolgere loro la vita”.
Dating, tallone d’Achille della sicurezza
I siti di dating, in particolare, sembrerebbero i più esposti a questo genere di problematiche. Anche per il delicatissimo tipo di informazioni di cui sono in possesso. In questo caso i siti sono basati in Europa e devono dunque rispettare quanto previsto dal Gdpr, il Regolamento generale per la protezione dei dati personali continentali entrato in vigore lo scorso anno, secondo il quale le informazioni sulle “preferenze sessuali” ricadono ovviamente fra le categorie speciali la cui tutela dev’essere rafforzata. Solo all’inizio dell’anno il gruppo 3Fun lasciò “aperti” i dati di oltre un milione di utenti, consentendo addirittura ai ricercatori di monitorare la loro geolocalizzazione in tempo reale. E non occorre troppo sforzo per ricordare il caso-scuola, quello che nel 2016 coinvolse il colosso degli appuntamenti extraconiugali Ashley Madison: la diffusione dei dati di centinaia di migliaia di utenti è stata anche collegata ad alcuni casi di suicidio.
