Tom's Hardware Italia
Streaming e Web Service

Instagram, un partner ha raccolto i dati personali di centinaia di milioni di utenti

Hyp3r, una startup di marketing che collaborava con Instagram, si sarebbe appropriata in modo scorretto dei dati di "centinaia di milioni dei consumatori di più alto valore". Il rapporto è stato interrotto ma l'accaduto mostra quanto Facebook sia ancora in alto mare con la gestione della privacy.

Instagram ha fatto sapere di aver cessato i rapporti con Hyp3r, una startup di marketing che, in modo scorretto, si sarebbe appropriata dei dati di “centinaia di milioni di consumatori” presenti sulla piattaforma social. L’accaduto mostra che a oltre un anno di distanza dai fatti di Cambridge Analytica, Facebook è ancora in alto mare con la gestione e la protezione dei dati degli utenti su tutte le sue piattaforme.

‎Instagram ha ora estromesso Hyp3r dalla piattaforma, apportato modifiche per impedire che l’evento si verifichi nuovamente e invitato per vie legali a cessare la propria attività e desistere dal portarla ulteriormente avanti, ma il danno – anche d’immagine – ormai è fatto.

Alla base dell’accaduto ci sarebbe stata ‎una combinazione di errori di configurazione e di lassismo nella supervisione da parte di Instagram, che avrebbe permesso ad almeno uno dei suoi partner pubblicitari di appropriarsi indebitamente di grandi quantità di dati utente attraverso le Stories, creando così registri dettagliati comprensivi di ubicazione fisica degli stessi, biografie personali e foto che sarebbero invece state destinate a sparire dopo 24 ore. ‎

Il tutto è stato fatto in chiara violazione delle regole di Instagram, eppure tutto è andato avanti per almeno un anno, sotto il naso dell’azienda, senza che nessuno se ne accorgesse, per di più da parte di uno dei partner preferiti di Facebook Marketing.

‎La raccolta dei dati personali è uno dei più grandi problemi delle piattaforme libere presenti sul Web. Instagram ovviamente non è l’unico servizio ad essere stato colpito nel corso degli anni, e Hyp3r è quasi certamente non l’unica azienda ad aver raccolto dati. Ma di cosa si occupa esattamente la startup e in che modo ha operato? ‎

Sostanzialmente Hyp3r è una società di marketing che tiene traccia dei post taggati con luoghi reali e pubblicati sui social media ed utilizza i dati per inviare agli utenti annunci pertinenti. Se visiti un Hotel e posti un selfie lì, prima o poi ti arriveranno annunci dei competitor dell’Hotel, per esempio. ‎

‎Hyp3r però ha creato uno strumento ad hoc per monitorare digitalmente alcuni percorsi e alcune zone specifiche, raccogliendo di conseguenza tutti i post pubblici che abbiano come tag luoghi all’interno della recinsione digitale. ‎Il risultato è ‎‎un database di migliaia di posti, tra cui‎‎ “Hotel, casinò, navi da crociera, aeroporti, palestre, stadi e mete per lo shopping in tutto il mondo”, oltre che ospedali, bar e ristoranti. ‎‎Se un utente postava in uno qualsiasi di questi luoghi, il post era salvato a tempo indeterminato nei sistemi di Hyp3r a sua insaputa, abbinato ad altre informazioni personali come immagine del profilo, biografia, numero di follower e altri dati raccolti da Instagram. ‎

‎‎Il volume totale dei dati di Instagram ottenuti da Hyp3R non è chiaro, anche se l’azienda ha ammesso pubblicamente di essere in possesso di un “set di dati di centinaia di milioni di consumatori di più alto valore del mondo”. ‎

Secondo Hyp3r però, poiché i dati raccolti sono già pubblici, non ha bisogno di richiede il consenso da parte degli utenti di Instagram per raccoglierli, e che le società hanno esigenze aziendali legittime, che giustificherebbero tali condotte. ‎‎