Apps e privacy: il caso Path mette in discussione le app indiscrete

Path cancella i dati degli utenti, raccolti senza permesso, e fa l'upgrade

La privacy è un tema scottante nel mondo dei social network: ciò che è chiaro ormai ai navigatori delle community virtuali è che i propri dati sono un tesoro molto ambito dalle aziende e non è neanche necessario spiegare ad oggi il perché.

Ecco perché la settimana scorsa il caso dell’app Path ha destato così tanto clamore sul web, sebbene forse la notizia abbia mosso più gli utilizzatori dell’applicazione che il generale popolo della rete.

Cos’è Path

Path è uno smartphone-based personal network  che sfida le altre social app come Instagram ma posizionandosi completamente contro tendenza: è un social network che permette all’utente la condivisione solo con un numero ristretto di amici, 50 per l’esattezza.

Come afferma il CEO Dave Morin, già executive di Apple e Facebook, al Los Angeles Times:  “Sono cinque di solito le persone in cui si ha la massima fiducia. Venti sono amici stretti, con cui usciamo e passiamo il nostro tempo; cinquanta quelli che formano il nostro network personale” (fonte La Repubblica).

[yframe url=’http://www.youtube.com/watch?v=KQwA5tWIMIc’]

L’app, al momento disponibile solo per iOs, è un modello semplificato delle applicazioni social di condivisione di foto: le immagini possono contenere tre informazioni (persone, posti, cose) e non hanno funzionalità come Mi Piace o commenti. Questo perché le proprie immagini sono appunto destinate ad un gruppo di intimi. Una scelta che velocizza lo share e rende più immediata la comunicazione, che qui è davvero per immagini.

Ma soprattutto, occhio a questa affermazione, Path doveva essere l’app che rende il vostro spazio di condivisione più sicuro perché si muove nella cerchia dei vostri 50 contatti. Ecco perché i fatti della settimana scorsa sono stati così tanto discussi…

La scoperta: Path copia la rubrica senza permesso

L’8 febbraio esce la notizia che un hacker, tale Arun Thampi che stava studiando le API di Path in vista dell’Hackathon di Singapore, scopre ( e pubblica sul suo blog) un errore grossolano nell’app che mette in discussione la buona fede della start-up di San francisco che sta dietro all’app: durante le fasi di registrazione al network Path, l’applicazione impacchetta e invia ai server l’intera lista dei vostri contatti con i nomi completi, i numeri di telefono e gli indirizzi e-mail associati. Così Path vi invia una notifica quando un amico si iscrive al network, ma lo fa senza chiedervi il permesso.

In meno di 24 ore su Twitter si sono raccolte più di 4000 tweet e sulla rete un gran numero di commenti arrabbiati (fonte Huffington Post) che hanno portato il CEO Dave Morin a reagire subito rispondendo direttamente sul blog di Arun Thampi:

Ecco il testo tradotto:

“Arun, grazie per la precisazione. In realtà credo che questa sia un argomento importante da prendere seriamente in considerazione. Noi carichiamo i contatti della rubrica sui nostri server per facilitare l’utente nel trovare e connettersi ai propri amici e familiari su Path, in modo rapido ed efficiente, nonché per notificare quando amici e familiari entrano su Path. Niente di più.

 Noi crediamo che questo tipo di ricerca dei contatti e di corrispondenza sia importante per l’industria e che è importante che gli utenti comprendano chiaramente ciò, così abbiamo lanciato in modo pro-attivo un opt-in sul nostro client Android un paio disettimane fa e stiamo testando l’opt-in per la versione 2.0.6 del nostro cliente iOS, in attesa dell’approvazione dell’Appstore”.

La soluzione: Path cancella i dati raccolti e fa l’upgrade dell’app

Sul blog ufficiale dell’app il CEO Dave Morin si scusa con gli utenti e ammette “We made a mistake (Noi abbiamo fatto un errore)”. Morin ribadisce che l’uso delle informazioni raccolte è limitato a migliorare la funzione ‘Aggiungi amici’ e per informare l’utente quando uno dei suoi contatti entra a far parte di Path. Assicura che l’azienda ha sempre trasmesso ai propri server queste e qualsiasi altra informazione tramite una connessione criptata e utilizzando la tecnologia firewall standard del settore.

Ma Morin continua: “We also believe that actions speak louder than words” cioè “Riteniamo inoltre che le azioni sono più eloquenti delle parole”. Perciò l’azienda ha cancellato tutti i dati raccolti dai propri server così che gli utenti sentano di poter avere il controllo delle proprie informazioni.

Il social network ha reso disponibile inoltre un nuovo aggiornamento su App Store per Path con la quale all’app è implementata la finestra di notifica che chiede il consenso al raccoglimento e all’archiviazione di dati sui server. Se si da il consenso al raccoglimento dei dati e si cambia idea in un secondo tempo, basta inviare un’email a service@path.com che provvede a revocare l’accesso e cancella i dati raccolti.

Considerazioni sui rischi per la privacy

Quello che più però deve destare interesse è il fatto che l’app in questione ha agito nonostante le linee guida per gli sviluppatori mobile della piattaforma iOS dicano espressamente al punto 17.1 che “non è possibile trasmettere dati relativi a un utente senza ottenere la preventiva autorizzazione dell’utente” (fonte Applebitch).

Per questo motivo molti blog e riviste si sono mosse alla ricerca delle apps  “indiscrete” rivelando dati impressionanti e imprevisti su apps ufficiali come Instagram e Foursquare che accedono ai dati degli utenti senza il permesso. Non a caso, solo l’ultimo upgrade di Instagram, la versione 2.1 – casualmente proprio pochi giorni dopo il caso Path – ha provveduto a colmare il difett: ora l’app infatti fa la richiesta di accesso ai dati prima dell’iscrizione.

Intanto ancora Apple non ha dato una risposta a quegli utenti che fanno notare cheanche loro hanno parte in causa di questa falla nella sicurezza per gli utenti. Aspettiamo di aggiornarvi sugli sviluppi di questa importante questione.

In fondo a questo articolo trovate gli articoli a riguardo con i casi delle apps più impiccione e i motivi per cui stare in guardia.

VUOI APPROFONDIRE L'ARGOMENTO?