Le app di fitness sono un rischio per la tua privacy, ecco perché

Questo post è stato aggiornato il 31 ottobre 2019.


Le app di fitness e salute sono progettate per aiutarti a registrare e quantificare quanto ti alleni, quali farmaci da prescrizione prendi, anche quali metodi di controllo delle nascite che usi. Mentre queste app possono aiutarti a migliorare la tua salute, possono anche mettere a rischio la tua privacy. Nel peggiore dei casi, hanno messo le persone in pericolo fisico, come rivelare gli indirizzi di casa dei jogger e la posizione in tempo reale.

Molte di queste app espongono informazioni sensibili o le condividono con dozzine di terze parti, incluso Facebook, senza fornire agli utenti tutti i dettagli nella loro politica sulla privacy. Queste informazioni possono includere dati sensibili sulla posizione, dati medici riservati o persino informazioni altamente personali, ad esempio se si fa o meno sesso non protetto.

Questi tipi di app sono esplosi in popolarità negli ultimi cinque anni. Nel 2018, Fitbit da solo ha avuto oltre 27 milioni di utenti. All’inizio di quest’anno, Strava ha affermato di avere 42 milioni di utenti e di aggiungere un milione di utenti ogni mese. Dati i dati sensibili raccolti da queste app e il loro scarso record di protezione di questi dati, queste app rappresentano una minaccia sostanziale per la privacy dei loro utenti.

Cosa sanno di te le app di fitness

La maggior parte delle app di fitness, come Fitbit, Strava, MapMyRun, Nike + Run e Asics Runkeeper, solo per citarne alcune, hanno un dispositivo indossabile che si sincronizza con il tuo smartphone. Quel dispositivo indossabile può raccogliere una moltitudine di informazioni, tra cui il numero di passi che fai, la frequenza cardiaca, dove viaggi e quando, il tuo peso e quando sei sveglio o dormi.

I rilevatori di integrità sono generalmente applicazioni installate sul telefono. Si affidano a te per compilare moduli sulla tua salute per la raccolta dei dati. A seconda del tipo di app, potrebbe andare da domande standard sulla tua salute (sei ferito?) A domande su argomenti piuttosto delicati (usi la protezione quando fai sesso?).

Questi dati possono essere violati

I produttori di app di fitness, proprio come ogni altro settore, hanno subito violazioni dei dati. La violazione che ha colpito MyFitnessPal di UnderArmour nel 2018 è la più grande finora. Ha esposto i nomi utente, le password e gli indirizzi e-mail di oltre 150 milioni di utenti. Mentre gli hacker in genere cercano dati che possono facilmente monetizzare (come il numero della tua carta di credito), l’idea che i dati sulla posizione siano stati esposti è particolarmente problematica. Dato che i jogger e i ciclisti generalmente corrono e guidano dove vivono, gli aggressori possono anche identificare il luogo in cui l’utente ha vissuto osservando dove è iniziata e terminata la maggior parte dei percorsi.

Nessuna delle altre principali app di fitness e salute ha subito una grave violazione dei dati. Sfortunatamente, c’è poco che puoi fare per garantire che un’app memorizzi responsabilmente i tuoi dati oltre a condividere i dati solo con aziende e organizzazioni di cui ti fidi.

Scopri di più su cosa fare se sei vittima di una violazione dei dati.

La miniera di dati definitiva

La condivisione dei dati è il nocciolo del problema. Le aziende di app di fitness sono spesso incentivate a condividere i tuoi preziosi dati sanitari in tempo reale con terze parti, siano essi inserzionisti, studi legali o social network come Facebook che traggono profitto dalle tue informazioni sensibili. Se fossero completamente trasparenti su come i tuoi dati erano condivisi o su come regolare le tue impostazioni sulla privacy, gli utenti potrebbero avere meno probabilità di fidarsi delle app. Ecco perché, ad oggi, l’industria delle app di fitness e salute è stata perseguitata da scandali.

Esistono molti motivi validi per la condivisione dei dati di un’app. Può portare a un servizio migliore che l’utente desidera. Può anche essere richiesto dalla legge per le indagini di polizia. Ma i produttori di app non considerano sempre la privacy delle tue informazioni sensibili come una priorità assoluta.

Esistono tre modi principali in cui le app di fitness e salute abusano dei tuoi dati:

  1. Espongono automaticamente i dati immediatamente. Se gli utenti desiderano utilizzare queste app e tutelare la propria privacy, devono aggiornare le impostazioni sulla privacy all’interno dell’app o sul proprio smartphone, cosa che pochi utenti fanno.
  2. Le loro politiche sulla privacy sono vaghe. Una politica sulla privacy che afferma “Potremmo condividere le tue informazioni con i nostri sponsor e / o partner commerciali” non fornisce all’utente informazioni sufficienti per prendere una decisione informata.
  3. Le loro politiche sulla privacy sono fuorvianti. In alcuni casi, le app non rivelano come vengono utilizzati i dati nella loro politica sulla privacy. Lo nascondono in un documento separato o lo mascherano in confuso legalese. Altre app di salute più piccole potrebbero non avere alcuna politica sulla privacy.

Debole impostazioni di privacy predefinite

Un primo esempio del primo problema è l’app per il fitness Strava e la sua funzione Beacon, che tradisce la posizione in tempo reale di ciclisti e corridori. Ciò ha reso l’app una miniera d’oro per i ladri.

Ecco come funziona. Strava combina il fitness tracking con una piattaforma di social media che consente ai suoi utenti di competere e interagire tra loro. Affinché Strava funzioni, è necessario l’accesso e l’autorizzazione per condividere i dati sulla posizione. Ha anche una funzione “FlyBy”, che ti consente di cercare altri utenti Strava che hai visto o superato durante la corsa.

Tuttavia, non è necessario essere un utente Strava per accedere alla piattaforma o cercare percorsi. Una volta selezionato un percorso, puoi scoprire a chi appartiene, guardare il profilo di quella persona e vedere dove è probabile che vadano correndo. Questi dati possono spesso essere utilizzati per individuare le case delle persone. Questo problema è presente anche in misura minore per MapMyRun, Nike + Run e qualsiasi app che tiene traccia delle tue corse e ti consente di condividere tali dati.

Mentre i media fissati su basi militari venivano esposti dalle piste da jogging dei soldati con la funzione “HeatMap” di Strava, questi dati potevano essere usati per trovare e seguire qualsiasi utente Strava.

La perdita di dati della mappa di calore Strava è peggiorata molto di più:

– I dati possono essere anonimizzati
– Include nomi e percorsi di corsa di persone in strutture militari ad alta sicurezza
– Una rapida ricerca mostra i nomi di 50 membri del personale americano in una base in Afghanistan
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 gennaio 2018

Nel 2014, le forze dell’ordine hanno attribuito un forte aumento dei furti di biciclette nel Regno Unito ai ladri che utilizzano i dati Strava. La stessa cosa è successa di nuovo nel 2018.

“Non credo che molte persone fossero consapevoli del fatto che queste app di mappatura possono sostanzialmente fornire un’enorme quantità di informazioni a un aspirante ladro. Quindi abbiamo bisogno che le persone controllino la loro privacy ”, ha affermato Adam Lang, un agente di polizia che ha esaminato i furti di biciclette nel 2018.

Strava è dotato di controlli sulla privacy. Sfortunatamente, pochi utenti li attivano e bastano poche corse per esporre la posizione di casa tua. Inoltre, l’attivazione di alcune funzionalità della privacy, come la disabilitazione della funzione “FlyBy”, compromette l’usabilità dell’app.

Vecchie politiche sulla privacy

L’esempio sopra – “Potremmo condividere le tue informazioni con i nostri sponsor e / o partner commerciali” – non è un ipotetico. Deriva dall’informativa sulla privacy del localizzatore di ovulazioni Maya, che afferma di avere più di otto milioni di utenti in tutto il mondo. Non si tratta di informazioni sufficienti per consentire a un utente di fornire il proprio consenso informato. In nessun punto della politica di Maya vengono elencati i tipi di dati che condividono o le organizzazioni con cui li condividono.

Ciò riguarda in particolare il tipo di dati raccolti da Maya, che includono informazioni sul tuo umore, che tipo di contraccezione stai usando, se stai facendo sesso e se stai usando la protezione. Un rapporto di Privacy International ha rivelato la vaga politica e il fatto che Maya sta condividendo dati con diverse terze parti, tra cui Facebook. Il rapporto ha anche messo in evidenza il tracker dell’ovulazione MIA Fem. MIA Fem aveva una politica sulla privacy altrettanto vaga ma da allora l’ha aggiornata per riflettere quali dati vanno a quali partner. È solo l’ultima app per la salute a regolare la sua politica sulla privacy dopo essere stato scoperto a condividere i dati senza informare i propri utenti.

L’app di localizzazione Flo ovulation ha smesso di condividere i dati con Facebook dopo che una storia del Wall Street Journal ha rivelato la condivisione di dati simili senza consenso. (Una cosa che Flo, Maya e MIA Fem hanno in comune è che sono stati costruiti con il Software Development Kit (SDK) di Facebook, che consente agli sviluppatori di incorporare funzionalità e consente a Facebook di raccogliere i dati degli utenti in modo che possano mostrare annunci mirati. L’SDK di Facebook è stato al centro di molte altre violazioni della privacy.)

Informative sulla privacy fuorvianti

HealthEngine è un’app popolare in Australia, utilizzata da oltre 1,5 milioni di persone per programmare gli appuntamenti del medico. Una recente indagine ha rilevato che l’app ha condiviso le informazioni mediche private dei suoi utenti con avvocati locali infortunati senza il loro consenso.

Agli utenti è stato chiesto se fossero stati coinvolti in un incidente d’auto o avessero subito un infortunio sul lavoro. Se rispondono di sì, l’app comunica agli avvocati specializzati in lesioni personali i dettagli dei loro problemi di salute. In nessun momento è stato chiesto agli utenti se hanno acconsentito alla condivisione dei propri dati con gli avvocati, né è stato menzionato il fatto che i loro dati siano stati condivisi con gli avvocati nell’informativa sulla privacy di HealthEngine. Il fatto che i loro dati medici privati ​​sarebbero stati inviati a uno studio legale è stato rivelato solo in una “Dichiarazione di raccolta” separata. L’unico modo in cui gli utenti potevano rinunciare a questa condivisione di dati era di non utilizzare l’app.

Negli Stati Uniti, le app per la salute Cardiio e My Baby’s Beat e l’app per il fitness Runtastic sono state costrette a rivedere le loro politiche sulla privacy dopo che il procuratore generale di New York ha dichiarato di condividere i dati con terze parti senza un chiaro consenso.

Cosa dovresti fare per proteggere la tua privacy

Potrebbe essere sorprendente che sia persino legale per le app condividere le informazioni mediche delle persone in modo così ampio. Ma la legge statunitense sulla privacy in materia di salute, HIPAA, non si applica alle informazioni che i clienti raccolgono per il proprio uso. Ciò significa che, nella maggior parte dei casi, le app di fitness non rientrano nel regolamento.

Nuove normative negli Stati Uniti rivolte in modo specifico alle app di fitness e salute potrebbero incoraggiare gli sviluppatori a essere più responsabili con i dati sensibili, ma finora non ci sono stati progressi. Gli sforzi compiuti dai senatori statunitensi per impedire la vendita di dati sanitari privati ​​agli assicuratori, ai prestatori di mutui e ai datori di lavoro non hanno portato da nessuna parte.

Il GDPR dell’UE fornisce una certa protezione in quanto richiede un consenso informato e inequivocabile prima che i dati possano essere condivisi. Questa è una soglia che Maya sta probabilmente violando, dato che non elenca tutti i dati che condivide o che riceve i dati nella sua politica sulla privacy. Ciò vale solo per le persone che vivono nell’Unione europea.

Il modo migliore per rimanere privati ​​durante l’utilizzo delle app di monitoraggio del fitness o di monitoraggio della salute è prendere le cose nelle tue mani.

Questi sono i passaggi più importanti che puoi adottare per rimanere al sicuro:

  1. Leggi l’informativa sulla privacy: Se non è esplicito su quali dati condivide e con quali organizzazioni condivide i dati, supponi che tutti i dati inseriti in tale app possano essere condivisi con un numero qualsiasi di terze parti sconosciute. Se non ti senti a tuo agio, trova un’altra app.
  2. Controlla se ci sono impostazioni sulla privacy: Prenditi il ​​tempo per controllare le impostazioni sulla privacy. Impedire all’app di condividere i tuoi dati è buono, ma la soluzione più privata è impedirgli di raccogliere dati in primo luogo.
  3. Limitare i dati inseriti nell’app: Molte di queste app raccolgono più dati di quelli necessari per svolgere la loro funzione principale. Domanda se è necessario condividere tali dati per utilizzare l’app. Ad esempio, non c’è motivo per cui un tracker di ovulazione debba sapere se stai facendo sesso non protetto perché funzioni.
  4. In caso di dubbi, chiedere: Se non sei sicuro di come un’azienda di app di fitness abbia intenzione di utilizzare i tuoi dati, invia loro un’email e chiedi. (E se lo fai, facci sapere cosa dicono!)

Le app di fitness e salute sono ottimi strumenti che possono aiutarti a motivarti a rimanere in forma e a monitorare i tuoi progressi. Ma non dovresti mettere in pericolo la tua salute digitale per il bene della tua salute fisica. È importante essere consapevoli del fatto che le app che scarichi possono mettere a rischio la tua privacy.

I migliori saluti,
Il team ProtonVPN

AGGIORNAMENTO 1 novembre 2019: Google ha annunciato che avrebbe acquistato Fitbit per $ 2,1 miliardi. Ciò aumenta la possibilità che Google acceda ai dati sanitari di Fitbit per la pubblicità, ma i dirigenti di Google hanno affermato che non sarà così. In una e-mail ai clienti, il CEO di Fitbit ha scritto: “Non vendiamo mai le tue informazioni personali e i dati di salute e benessere di Fitbit non verranno utilizzati per gli annunci di Google”. L’accordo dovrebbe essere finalizzato l’anno prossimo.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map