Quante app avete installato sui vostri dispositivi? Usiamo le app per quasi tutto, dalla comunicazione con gli altri all'annotazione della lista della spesa. Tuttavia, alcune possono rappresentare una minaccia per la sicurezza dei dati e la privacy personale. Insieme a Daniel Chromek, Chief Information Security Officer di ESET, discutiamo dei modi più comuni in cui le persone mettono in pericolo i propri dati attraverso i servizi di app.
Quale tipo di dati deve essere protetto?
Ogni giorno abbiamo a che fare non solo con i nostri dati personali, ma anche con le informazioni digitali dei nostri datori di lavoro, dipendenti, collaboratori e clienti. Mentre i dati pubblici possono essere facilmente accessibili a chiunque li cerchi, molti tipi di informazioni digitali devono essere gestiti e protetti con attenzione. Tra questi vi sono:
- Dati interni, ovvero le comunicazioni interne.
- Dati confidenziali - ad esempio, numeri di identificazione
- Dati riservati, ovvero dati protetti a livello federale.
Comprendere le differenze tra dati pubblici e sensibili può aiutarvi a non mettere a repentaglio le informazioni digitali che dovrebbero rimanere private. Tuttavia, lo stato dei dati può anche cambiare per motivi personali, professionali o addirittura politici, per cui non bisogna mai maneggiare qualsiasi tipo di informazione digitale in modo incauto.
Roe v. Wade: quando la sensibilità dei dati aumenta inaspettatamente
Alla richiesta di esempi di persone che non si rendono conto di condividere dati altamente sensibili, Chromek ha citato la situazione negli Stati Uniti dopo la sentenza Roe v. Wade. Una volta che l'aborto è diventato potenzialmente illegale in diversi Stati americani, le donne sono state messe in guardia sull'uso di app per il monitoraggio delle mestruazioni per documentare i loro cicli mestruali. Diverse fonti hanno suggerito che queste app possono ora essere usate contro le loro utenti se accessibili dalle forze dell'ordine per scoprire possibili aborti illegali. Come spiega il Washington Post, "in un caso di aborto criminale, un indirizzo IP sarebbe pertinente perché, con l'aiuto dei fornitori di servizi Internet, le forze dell'ordine possono risalire agli indirizzi IP delle persone". In questo caso, i dati che prima venivano condivisi senza preoccupazioni, come gli indirizzi IP, sono diventati rapidamente sensibili.
Le app più utilizzate e i loro rischi
Molte persone saltano la lettura dei Termini e condizioni, anche se si consiglia vivamente di leggerli prima di utilizzare una nuova app o di iscriversi a un nuovo servizio. È particolarmente importante se si prevede di utilizzare l'app per gestire non solo i propri dati personali, ma anche materiali relativi al lavoro. Molte app sono così comunemente utilizzate che non ci pensiamo nemmeno due volte al loro possibile impatto sulla sicurezza digitale. Ecco alcune app che possono potenzialmente mettere a rischio la sicurezza dei vostri dati.
1) Strumenti di intelligenza artificiale
Modelli linguistici avanzati di apprendimento automatico, come ChatGPT, hanno conquistato Internet dal 2022. A prima vista, ChatGPT sembra essere un pratico strumento in grado di riassumere testi complessi, sviluppare nuove idee commerciali o aiutare a scrivere una risposta a un'e-mail importante.
Tuttavia, dovete sapere che gli sviluppatori potrebbero utilizzare ogni vostro inserimento per potenziare le funzionalità di ChatGPT, raccogliendo non solo i dettagli del vostro account e le informazioni sul dispositivo, ma anche tutti i dati che decidete di condividere. Questo rappresenta un grave rischio e la violazione dei dati di ChatGPT è già stata confermata. È stata causata da una vulnerabilità in una libreria open-source che ha permesso agli utenti di ChatGPT di vedere i dati di chat appartenenti ad altri utenti.
La dubbia sicurezza degli strumenti di OpenAI ha suscitato reazioni preoccupate da parte di diverse autorità. L'Italia, ad esempio, ha vietato ChatGPT nel marzo 2023, sostenendo che "la raccolta e l'archiviazione di massa di dati personali per 'addestrare' l'algoritmo" non ha alcuna base legale. Solo un mese dopo, tuttavia, l'Italia ha revocato il divieto dopo che OpenAI ha modificato la sua politica sui dati per consentire agli utenti di impedire a ChatGPT di utilizzare i loro dati per migliorare la tecnologia.
Anche il gigante tecnologico Samsung ha vietato ai dipendenti di utilizzare ChatGPT ehttps://www.techradar.com/news/samsung-bans-chatgpt-use-after-employee-leak altri strumenti di IA generativa sul posto di lavoro. La decisione è stata presa dopo che dati riservati, tra cui il codice sorgente dell'azienda, sono stati divulgati online da dipendenti che utilizzavano ChatGPT. L'azienda sta ora rivedendo le misure di sicurezza per creare un ambiente sicuro per l'utilizzo dell'IA generativa e, a quanto pare, sta sviluppando un proprio servizio di IA per i dipendenti.
2) App di traduzione gratuite
Le app di traduzione spesso devono elaborare una grande quantità di informazioni per trasformarle nel testo finale tradotto. "Non è un problema tradurre una parola specifica, ma il problema aumenta con interi paragrafi e documenti. Quando, ad esempio, un avvocato inserisce il contenuto di un contratto sensibile in un'app di traduzione non sicura, le possibili conseguenze sono gravi: violazione dei dati GDPR, rivelazione di informazioni aziendali altamente sensibili e così via", spiega Chromek. Fate attenzione al tipo di dati che inserite nelle applicazioni di traduzione e fate particolare attenzione alle app gratuite senza licenza.
3) Applicazioni che cambiano formato
Avete mai avuto bisogno di comprimere rapidamente un documento per inserirlo in un'e-mail? O di cambiarne il formato, ad esempio in un PDF? Uno dei modi più comuni per farlo è utilizzare uno strumento di conversione online o un'app per il cambio di formato. "Tutto ciò che è stato detto sulle app di traduzione vale anche per le app di cambio formato", continua Chromek. Questi servizi devono elaborare i dati potenzialmente sensibili contenuti nei documenti caricati, quindi fate sempre attenzione a utilizzare solo app preapprovate.
4) Calendari condivisi
"I calendari condivisi spesso includono elenchi di contatti. Per condividere i propri impegni con qualcuno, è necessario avere il suo indirizzo e-mail. Quindi, a meno che non siano sufficientemente protette, queste app possono rappresentare un problema per il GDPR", osserva Chromek. Inoltre, alcuni calendari condivisi possono confondere gli utenti, che potrebbero non essere sicuri di quali dati stanno condividendo con chi. Potrebbero non sapere se il loro calendario è visibile solo alle persone con cui intendono condividerlo o se è disponibile per qualsiasi estraneo.
5) App per prendere appunti e agende
Se si utilizzano le app per prendere appunti solo per creare liste della spesa, il rischio non è tanto elevato quanto quello di utilizzarle per memorizzare gli appunti delle riunioni di lavoro o per tenere un elenco di password. In quest'ultimo caso, dovreste sempre utilizzare un gestore di password e non un'altra app. "Si noti che queste app spesso consentono di aggiungere immagini, video o registrazioni vocali agli appunti, il che rappresenta un'ulteriore possibilità di fuga di dati", ha detto Chromek.
6) Applicazioni pubbliche per la condivisione di file
Oltre ad accedere potenzialmente a informazioni sensibili, la maggior parte delle app pubbliche per la condivisione di file opera nel cloud. Se il provider del cloud o il vostro account vengono compromessi, c'è la possibilità di una fuga di dati. Tuttavia, alcune app per la condivisione di file possono essere combinate con soluzioni di crittografia trasparente dei dati per aumentarne la sicurezza.
7) Applicazioni di messaggistica
Le app di messaggistica spesso consentono un'ampia gamma di azioni: condivisione di file, telefonate, videochiamate, invio di messaggi, registrazioni vocali, ecc. Di conseguenza, necessitano di molte autorizzazioni sul dispositivo mobile, tra cui l'accesso alla fotocamera, al microfono o ai dati presenti nella memoria. Inoltre, alcune app di messaggistica non criptano le informazioni raccolte, quindi quando vengono violate, gli aggressori hanno accesso a tutto. Chromek aggiunge: "C'è anche una differenza nel tipo di sicurezza che queste app offrono in termini di crittografia. La maggior parte dei messenger cripta i dati durante il trasferimento attraverso Internet (dati in movimento); tuttavia, alcuni messenger offrono una sicurezza aggiuntiva utilizzando la crittografia end-to-end, il che significa che nemmeno il provider dell'app di messaggistica può decriptare i messaggi. Solo le parti che comunicano possono farlo".
8) Applicazioni per l'accesso remoto
Dovete controllare il vostro cane mentre siete al lavoro? O di accendere il riscaldamento prima di arrivare a casa? Le app di accesso remoto vi permettono di farlo. Tuttavia, possono anche essere utilizzate in modo improprio. I servizi di accesso remoto possono diventare un portale per agenti esterni che entrano nel vostro dispositivo, lo gestiscono e rubano i dati in esso contenuti", avverte Chromek.
La maggior parte delle app citate condivide alcuni degli stessi rischi. Innanzitutto, il cloud che utilizzano per l'archiviazione dei dati potrebbe non essere sicuro. Con l'archiviazione dei dati personali, questi servizi cloud diventano improvvisamente non solo vostri fornitori ma anche responsabili del trattamento dei dati GDPR. C'è anche il rischio di guasti al servizio che possono portare a violazioni della sicurezza.
Infine, per continuare a funzionare, le app hanno bisogno di finanziamenti. Le app gratuite dipendono dal finanziamento della loro attività attraverso pubblicità, donazioni, utilizzo dei dati per scopi commerciali o vendita dei vostri dati ad altri servizi. Tutto ciò avviene solo se l'utente è d'accordo, quindi è bene controllare i dettagli sulla condivisione dei dati nei Termini e condizioni, che molti saltano di leggere.
Termini di servizio: Non letti
Questo sito web, https://tosdr.org/ classifica i Termini e condizioni di varie app dalla A alla F. Forse non offre una panoramica completa della sicurezza di un'app, ma fornisce un'idea più precisa di cosa aspettarsi da un'app in termini di sicurezza.
Consultate sempre i vostri specialisti IT o di sicurezza
Per concludere, le app possono essere utili nella nostra vita personale e professionale, ma tutte comportano dei rischi. Senza una formazione informatica, potreste non essere in grado di riconoscere appieno i loro potenziali pericoli, quindi vi invitiamo a rivolgervi al vostro team IT e/o di sicurezza per qualsiasi nuova app che intendete utilizzare. Questo include le app che volete usare per motivi professionali e qualsiasi servizio personale memorizzato nello stesso dispositivo in cui si trovano i vostri file di lavoro. Il team IT dovrebbe aiutarvi a determinare se un'applicazione è considerata sicura nella vostra