È arrivata la conferma: Sarahah l'applicazione saudita per inviare messaggi anonimi che ha fatto impazzire gli utenti durante l'estate, ruba i contatti dalla rubrica degli utenti e li invia ai propri server, apparentemente senza motivo, ovvero senza una funzionalità che ne giustifichi il furto e senza le dovute garanzie nei confronti degli utenti.
E' stato stimato che la suddetta applicazione ormai sia stata scaricata da più di diciotto milioni di users, sui loro smartphone Android e Iphone e che quindi abbia già potuto venire in possesso di centinaia di milioni di numeri di telefono spesso ad insaputa dei proprietari.
Al momento dell'istallazione, infatti, viene richiesto di poter effettuare l'upload della rubrica telefonica, ma l'avviso è molto generico e non viene minimamente specificato che utilizzo si intende fare dei dati raccolti: questo pone un grosso interrogativo e conseguentemente un problema dal punto di vista della privacy di coloro che la hanno scaricata.
Il vero scopo dell'applicazione
A scoprire il meccanismo è stato l'analista Zachary Julian di Bishop Fox, mentre la prima testata a riportarlo è stata quella del The Intercept. Ma lo scopo con cui è nata Sarahah non era certo quello per cui adesso è così celebre, ma quello di riuscire a garantire all'interno del proprio ambiente lavorativo un'atmosfera più serena e rilassata; infatti grazie a questa applicazione si sarebbe consentito di presentare lamentele, denunciare comportamenti scorretti in forma del tutto anonima per non subirne le conseguenze.
Questo genere di strumenti per poter esprimere i propri sentimenti senza doversi mettere in gioco ha sempre ottenuto grande successo, come ad esempio le pagine Facebook "spotted" che erano in gran voga qualche tempo fa.
La violazione della privacy
Dopo che Zachary Julian Bishop ha individuato il meccanismo di download dei dati (attraverso un'applicazione scaricata sul suo smartphone Android in grado di monitorare le attività delle altre app) ed ha denunciato il fatto. L'ormai celebre sviluppatore di Sarahah Zain al-Abidin Tawfiq si è giustificato dicendo che la funzione di download dei contatti servisse per una futura funzione di individuazione degli amici, cosa per altro molto comune nelle altre applicazioni gratuite quali Instagram e Facebook.
Successivamente in un post su Twitter ha specificato che la funzione di download della rubrica verrà eliminata nel prossimo aggiornamento.
Lo sviluppo di questa funzione aveva già creato qualche intoppo e la sua eliminazione era già stata da tempo programmata, ma mai portata a termine. Tawfiw ha comunque specificato che le informazione ottenute fino ad ora non verranno mantenute, anche se questo non è possibile verificarlo.
Gli esperti di sicurezza informatica ci consigliano e ci invitano sempre a non acconsentire l'accesso alle proprie informazioni da parte delle applicazioni scaricate, soprattutto se dietro ci sono grandi organizzazioni che potrebbero non aver preso le dovute misure di sicurezza per evitare il trasferimento di dati.
Già in passato è accaduto che grandi database abbiano messo in vendita tramite forum di hacker e utenti poco raccomandabili, milioni di informazioni private come numeri di telefono ed email. Nel caso di questa nota applicazione non ci sussistono informazioni chiare sui modi di trasferimento né tantomeno sui livelli di sicurezza dei server che gestiscono la privacy.
