Uma análise conduzida pela organização sem fins lucrativos SINTEF revelou que o popular aplicativo de encontros gays Grindr … está compartilhando o status de HIV de seus usuários com outras empresas.

A pouco tempo publicamos outra notícia sobre o Grindr e parece que eles está de volta as notícias né ? A poucos dias atrás ele foi afetado por dois problemas que já foram corrigidos, mas podem ter exposto as informações de mais de 3 milhões de usuários.

Um invasor poderia ter explorado este recurso para acessar dados de localização, mensagens privadas para outros usuários e informações de perfil mesmo que a pessoa não houvesse optado por compartilhar as opções.

As questões de segurança foram identificadas por Trever Faden, CEO da startup de gestão de propriedades Atlas Lane, enquanto ele trabalhava no seu site C*BLocked que permitia aos usuários ver quem os bloqueava no Grindr.

Faden descobriu que uma vez que um usuário do Grindr logasse no seu serviço era possível acessar uma enorme quantidade de dados relacionados a sua conta Grindr incluindo mensagens não lidas, endereços de email e fotos excluídas.

E enquanto esta notícia ganhava a mídia outra revelação complicada para os usuário do Grindr foi feita pelo BuzzFeeed e pela organização sem fins lucrativos norueguese SINTEF, onde revelaram que o Grindr vem compartilhando dados sobre o status de HIV ( se o usuário tem o vírus ou não ) com duas empresas externas … complicado né ?

“A SVT e a SINTEF realizaram um experimento no dia 7 de fevereiro de 2018 para analisar vazamentos de privacidade no aplicativo de encontros Grindr. Isto foi realizado para o programa de TV Sueco “Plus Grankar” que você inclusive pode assistir online.” – relatou o SINTEF.

“Descobrimos que o Grindr contém muitos rastreadores e compartilha informações pessoais com vários terceiros diretamente do aplicativo.”

Os perfis incluem informações confidenciais como status de HIV incluindo até a informação da última vez que o usuário foi testado e se está em tratamento de HIV ou pílula de prevenção HIV PrEP.

“É desnecessário que o Grindr compartilhe o status de HIV dos seus usuários com serviços de terceiros. Além diso estes terceiros não são necessariamente certificados para hospedar dados médicos e os usuários do Grindr podem não estar cientes de que estão compartilhando estes dados com eles.” – adicionou o SINTEF.

O aspecto desconcertante dessa revelação de que o Gindr compartilha o status de HIV dos usuários e as datas dos testes com duas empresas que ajudam a otimizar o aplicativo, chamdas Apptimize e Localytics.

“As duas empresas – Apptimize e Localytics que ajudam a otimizar os aplicativos recebem algumas das informações que os usuários do Grindr optam por incluir em seus perfis, incluindo o status de HIV e “data do último teste” – nos relatórios do Buzzfeed.

“Como as informações de HIV são envidas junto com os dados de GPS dos usuários, ID do telefone e e-mail, elas podem identificar usuários específicos e seu status sorológico, segundo Antoine Pultier, pesquisador da organização sem fins lucrativos norueguesa SINTEF, que identificou o problema pela primeira vez. “

Em alguns dados os dados, pasmém, nem protegidos por criptografia foram o que é de uma irresponsabilidade fora do comum para um serviço desta magnitude.

Horas depois do relatório do Buzzfeed o Grindr disse a Axios que havia sido feita uma mudança para interromper o compartilhamento do status de HIV dos usuários.

O chefe de segurança da empresa, Bryce Case disse a Axios que a empresa estava sendo acusada “injustamente … isolada” à luz do escândalo da Cambridge Analytica do Facebook e disse que as práticas da empresa não se desviavam das normas da indústria.

O diretor de tecnologia da Grindr, Scott Chen ressaltou que os dados foram compartilhados “sob rigorosos termos contratuais que proporcionam o mais alto nível de confidencialidade, segurança de dados e privacidade do usuário”.

De qualquer forma o Grindr, teoricamente, não vende os dados de seus usuários para terceiros.

Em um comunicado divulgado na tarde de segunda-feira o Grindr confirmou que pararia de compartilhar os dados de HIV.

A empresa também confirmou a CNNMoney que já apagou os dados de HIV do Apptimize e está no processo de removê-los da Localytics.

Vale aos usuários da ferramenta ficarem de olho, pois dados críticos como este podem gerar problemas inclusive na contratação de seguros de saúde, entrada em empregos, migração de país, etc …

Via Security Affairs