L’app lgbt Grindr torna in mano Usa, troppo pericoloso lasciarla ai cinesi
Gli Usa obbligano Kunlun a cedere la proprietà dell’app per incontri gay, lesbici, bisessuali, queer e transgender, i loro dati non possono finire in mano a una potenza straniera
di ARTURO DI CORINTO per La Repubblica del 17 Maggio 2019
CHI AVREBBE mai immaginato che un’app di incontri fosse un pericolo per la sicurezza nazionale? Ma è questo che pensano gli americani che hanno obbligato la cinese Kunlun a vendere l’app Grindr entro la metà del prossimo anno. La decisione è stata presa dal Cfius, il Comitato per gli investimenti stranieri negli Stati Uniti, un ente praticamente sconosciuto fino a questa decisione. Il motivo? Quello vero è che una società cinese non può avere accesso ai dati personali di funzionari dello Stato essendo “la più grande app di social networking per gay, bi, trans e queer” esistente. Il timore è infatti che quei dati vengano usati per ricattare soggetti con autorizzazioni di sicurezza. E siccome per la legge cinese sulla sicurezza informatica in vigore dal 2017 le aziende che operano nel paese devono basare in Cina i loro dati, la preoccupazione è legittima.
I dati gestiti dall’app creata nel 2009 da Joel Simkhai sono molti e contemplano: foto, genere, identità e preferenze sessuali degli iscritti, talvolta anche lo stato di salute degli affetti da HIV, insieme alla loro geolocalizzazione, per favorire incontri con altri utenti nelle vicinanze. Oggi ha circa 7 milioni di utenti attivi. Tra questi, secondo Chris Calabrese del Center for Democracy and Technology che ne ha parlato alla radio pubblica americana (Npr), ci potrebbe essere una parte di quei 22 milioni di impiegati statali Usa hackerati proprio dai cinesi qualche anno fa, almeno secondo le allusioni fatte dal consigliere per la sicurezza John Bolton. All’epoca ad essere bucato era stato l’Office of Personnel Management a cui erano stati rubati i dati di ogni impiegato federale, con tanto di nome, cognome, residenza, posizione fiscale, comprese le autorizzazioni e il livello di sicurezza, la famosa “clearance”.
La vendita forzata di Grindr e l’obbligo a non trasferire o divulgare i suoi dati sembra insomma qualcosa di diverso dalla contesa economico commerciale tra Cina e Stati Uniti e alla decisione, contestata, di bandire i prodotti delle cinesi Zte, Huawei e altre 70 sue affiliate incluse nella cosiddetta ‘Entity List’ delle aziende le cui apparecchiature potrebbero rappresentare un problema di sicurezza nazionale.
Nel caso di Grindr il rischio va oltre. Stavolta si tratta di dati personali sensibili. Per gli esperti di cybersecurity il rischio legato al furto o alla compromissione dei dati sanitari è sempre stato alto, anche più di quello relativo alle carte di credito: una carta di credito rubata può essere ritirata e cambiata, ma soprattutto ha una scadenza, i nostri dati sanitari invece no. Inoltre a quei dati sono spesso associati fatture e altri dati bancari e assicurativi, motivo per cui fanno tanto gola agli hacker che provano a farne incetta. Un rischio che aveva citato anche il Garante per la Privacy Antonello Soro quando nella sua ultima relazione aveva parlato dell’importanza della protezione dei dati sanitari.
Con i dati immagazzinati da Grindr è possibile ricattare gli utenti dell’app in maniera sofisticata: “So che sei gay perché sei su Grindr”, “So che sei malato di Hiv”, “Frequenti gente strana”, eccetera. Siccome l’app contempla la geolocalizzazione, Grindr può essere usato per pedinare qualcuno, scoprire che lavoro fa, dove lo fa, per quanto tempo, a che ora va in ufficio. Chi usa Grindr in genere cerca persone con cui parlare oppure un partner, un compagno di vita, e quindi diventa più facile per un agente sotto copertura introdursi nella vita di quella persona per sfruttare le sue conoscenze o la sua posizione.
Sappiamo che la tecnica di usare escort per spiare segreti governativi era stata usata anche dai fondatori di Cambridge Analytica, insieme a tangenti, ricatti e false identità, quindi lo scenario è tutt’altro che implausibile. E poi questo tipo di allarme era già stato dato rispetto ai tentativi di approccio di belle manager, forse 007, che su LinkedIn contattano i professionisti di settori delicati per portarli a lavorare in Cina. Profili fasulli con fotografie di bellissime donne, come ha raccontato Jonas Parello-Plesner dell’Hudson Institute che, contattato via LinkedIn da una di queste che fingeva di rappresentare una società di recruiting, al colloquio di lavoro si è trovato davanti due funzionari dell’intelligence comunista.