di Lorenzo Bodrero

Amanti del fitness, state allerta. Registrare il vostro tragitto di corsa o in bicicletta con dispositivi mobili nuoce alla salute. O meglio, alla sicurezza. Vostra e quella nazionale.

Dopo il caso Strava, emerso lo scorso gennaio, tocca ora alla Polar finire nell’occhio del ciclone. La nota casa finlandese, produttrice di cardiofrequenzimetri portabili per il fitness tracking, è finita al centro di un’inchiesta del giornale olandese De Correspondent il quale ha svelato quanto fosse facile risalire ai dati sensibili degli utenti: nome, cognome, professione e perfino indirizzo di domicilio.

Il caso olandese

Dopo il caso Strava, emerso lo scorso gennaio, tocca ora alla Polar finire nell’occhio del ciclone. La nota casa finlandese, produttrice di cardiofrequenzimetri portabili per il fitness tracking, è finita al centro di un’inchiesta del giornale olandese De Correspondent il quale ha svelato quanto fosse facile risalire ai dati sensibili degli utenti: nome, cognome, professione e perfino indirizzo di domicilio.

Come molte altre applicazioni, Polar mette a disposizione una mappa interattiva sul proprio sito web in cui sono evidenziati tutti gli utenti registrati. È sufficiente digitare il nome di un luogo, cliccare “Cerca” e la mappa mostra gli itinerari percorsi dagli utenti nell’area selezionata. I colleghi olandesi hanno esaminato circa 200 siti strategici (basi militari, carceri ad alta sicurezza, siti nucleari, ecc.) dislocati in tutto il mondo e i risultati emersi sono sbalorditivi.

Le mappe di calore

La mappa di Polar mostra diversi tracciati intorno alla base di Volkel, segno che uno o più utenti si allenano in quella zona. Cliccando su uno di questi viene fuori il profilo del corridore. Lo chiameremo Mike. Zoommando verso l’alto, la mappa evidenzia altri percorsi di Mike in altre zone dell’Olanda, lo storico dei suoi allenamenti. I tracciati si fanno più fitti in una cittadina di medie dimensioni non lontana da Volkel.

Uno di questi, il più battuto, è probabilmente quello che Mike percorre nei pressi della sua abitazion. Altri percorsi iniziano e finiscono nel medesimo punto. Con l’aiuto di Google Map è una passeggiata risalire all’indirizzo. Mike, inoltre, è stato particolarmente imprudente: al momento della registrazione del suo account su Polar ha utilizzato il suo vero nome. Una rapida ricerca su Facebook conferma la sua identità. Foto di lui con la moglie e i due figli sono in bella vista, la casa sullo sfondo è la stessa mostrata da Google. Sul suo profilo Linkedin riporta di essere un ufficiale dell’aviazione militare olandese.

Anche in Italia

I risultati dell’inchiesta, condivisi con il centro di giornalismo Irpi in esclusiva per l’Italia e pubblicati sul Corriere della Sera, sono stati raggiunti analizzando 207 siti strategici nel mondo in trenta paesi e 6.460 utenti Polar di 69 nazionalità. In Italia, le attenzioni si sono concentrate sulle basi militari di Aviano, Ghedi e Sigonella per un totale di 160 utenti, di cui sedici stranieri.

La base di Aviano.

Come a Volkel, anche nella base di Ghedi in provincia di Brescia sono stoccate testate nucleari. Il dato più preoccupante è che il 91% degli utenti analizzati aveva ben visibili sul proprio profilo nome e città di domicilio. Ma anche settando l’account su “privato” l’applicazione ha mostrato preoccupanti carenze nella protezione della privacy dei propri utenti, con potenziali gravi conseguenze per la sicurezza pubblica.

Utenti privati

Il profilo di Tom (altro nome di fantasia) è privato. Non è quindi possibile conoscere il suo nome e il luogo dove vive. La mappa di Polar ha però una funzionalità per cui a ciascun tracciato corrisponde una Url specifica, all’interno della quale è presente un codice numerico. Il codice fa riferimento all’utente e la serie di numeri può essere utilizzata per richiamare la cronologia dei suoi allenamenti.

Un modo semplicissimo per aggirare l’impostazione privata. Utilizzando il codice numerico di Tom la mappa richiama tracciati particolarmente luminosi nei pressi del campo di prigionia di Guantanamo, a Cuba. Tom è quindi un militare, un addetto alla sicurezza oppure un semplice dipendente che nel tempo libero fa jogging all’interno e all’esterno della famosa struttura detentiva per terroristi. Un punto sulla mappa di Polar è decisamente più visibile degli altri. Si trova a Dallas, in Texas. Un punto, non un tracciato. Che Tom utilizzi un tapis roulant a casa? Street View in quel punto mostra però un edificio di oltre trenta piani. Ma Polar fornisce anche i dati sull’altitudine. Con l’ausilio di Google Earth Pro è possibile misurare l’altezza di un edificio e al valore fornito da Polar – sottraendo quello dell’altitudine del terreno – corrisponde il 23° piano, quello in cui molto probabilmente vive Tom.

Questione di privacy

Visto il recente scandalo sulla vendita dei dati degli utenti che ha coinvolto Cambridge Analytica e l’attenzione su temi legati alla protezione della privacy, sorprende che un colosso delle dimensioni di Polar sia scivolato su un tema di grande interesse pubblico. Una svista o c’è del dolo? «Difficile dirlo», afferma Riccardo Coluccini, ricercatore presso il Centro Hermes per la Trasparenza e i Diritti Umani Digitali, «certo è che i dati raccolti da applicazioni per la salute sono talmente sensibili che meriterebbero un’attenzione maggiore».

Certe lacune sono comuni in molte altre applicazioni. Il recente regolamento europeo sulla protezione della privacy e dei dati (Gdpr), introdotto lo scorso maggio, dovrebbe contribuire a colmarle. «La pagina sulla privacy policy di Polar però mi sembra ancora troppo generica, sembrano prendere sotto gamba l’importanza dei dati che raccolgono e se è una svista allora è una svista grave», aggiunge Coluccini.

La risposta dell’azienda

Le informazioni su Mike, Tom e su centinaia di altri utenti sono state estrapolate in poco più di mezz’ora ciascuno, con l’ausilio di conoscenze tecniche elementari e di strumenti perlopiù open source. Le loro identità dovrebbero essere particolarmente tutelate, non farlo significa mettere a repentaglio le loro vite e quelle dei loro famigliari nonché compromettere operazioni militari e la sicurezza nazionale. Polar ha rimosso la mappa pochi giorni prima dell’uscita dell’inchiesta di De Correspondent ma nessuno può sapere se e chi nel frattempo l’ha sfruttata per fini criminali.

Piccole regole di minima sicurezza

Dunque, come ci si può proteggere al meglio? Coluccini suggerisce qualche buona prassi da seguire: «Intanto sarebbe utile attivare l’applicazione lontani dalla propria abitazione, trovo inoltre superfluo registrarsi con il proprio vero nome. Infine dovrebbe diventare un’abitudine quella di inviare una richiesta ai gestori chiedendo quali sono i dati raccolti e l’utilizzo che ne fanno, come previsto dal Gdpr».

 

Questo articolo è stato pubblicato sull’inserto Innovazione del Corriere della Sera il 27 luglio 2018.
Share This