1,5 milioni di foto private di app di dating lasciate senza protezione accessibili a chiunque

Un grave incidente di sicurezza riguarda cinque app di incontri sviluppate dalla società M.A.D Mobile: 1,5 milioni di immagini private, molte delle quali esplicite, sono archiviate online senza alcuna misura protezione rendendole pertanto facilmente accessibili a chiunque disponesse di un link diretto. BDSM People e Chica, dedicate a comunità BDSM, e le piattaforme LGBTQ+ Pink, Brish e Translove sono le app coinvolte, che nel complesso vantano tra gli 800 e i 900 mila utenti.

A individuare per primi il problema sono stati i ricercatori di sicurezza di Cybernews, che hanno scoperto la vulnerabilità analizzando il codice delle applicazioni. I ricercatori hanno dichiarato che il primo file visualizzato conteneva l'immagine esplicita di un uomo nudo, sottolineando immediatamente la gravità della situazione. Le immagini non si limitavano ai profili pubblici degli utenti ma includevano anche foto inviate privatamente nei messaggi e persino alcune eliminate dai moderatori.

La falla è stata segnalata per la prima volta a M.A.D Mobile il 20 gennaio 2025, ma l'azienda ha preso provvedimenti solo dopo essere stata contattata dalla BBC il 28 marzo scorso. Ora il problema è stato risolto, ma la società non ha condiviso alcuna spiegazione su come ciò sia accaduto e nessuna motivazione sul perché sia intervenuta con tale ritardo. M.A.D Mobile si è limitata, in una dichiarazione ufficiale, a ringraziare i ricercatori per aver aiutato a prevenire una violazione di dati potenziale, senza però fornire alcuna garanzia sul fatto che altri non abbiano già potuto accedere ai dati.

Ovviamente l'azione dell'azienda non è sufficiente a placare le ovvie preoccupazioni sollevate dall'episodio: le immagini, se effettivamente trafugate da malintenzionati, potrebbero essere facilmente utilizzate per per estorsioni o attacchi mirati, soprattutto data la loro natura particolarmente sensibile. I rischi sono ancor maggiori per gli utenti residenti in paesi ostili alla comunità LGBTQ+: sebbene le immagini non fossero associate ai nomi degli utenti o a elementi che consentissero un'identificazione diretta, possono essere sfruttate per tecniche di ricerca inversa e compromettere l'anonimato degli individui coinvolti.

La procedura comunemente adottata nel caso della scoperta di vulnerabilità è quella di informare in via riservata l'azienda coinvolta e solo successivamente, a falla risolta, dare divulgazione pubblica dell'accaduto. I ricercatori hanno deciso di agire diversamente e rendere noto il fatto prima che il problema fosse completamente risolto, e hanno difeso la loro decisione ritenendo necessario informare gli utenti per consentir loro di proteggersi da ulteriori rischi.