International Newspaper

L’app di social media anonima Yik Yak sta rivelando le posizioni esatte dei suoi utenti

Una violazione di cybersecurity

Un ricercatore che ha analizzato i dati di Yik Yak è stato in grado di accedere a coordinate GPS precise da dove provenivano post e commenti, con una precisione compresa tra 300 e 400 cm, e afferma di aver portato le sue scoperte all’azienda ad aprile…

Lanciato per la prima volta nel 2013, Yik Yak era popolare nei campus universitari, dove veniva spesso utilizzato per spettegolare, pubblicare aggiornamenti e cyberbullizzare altri studenti. Dopo aver perso rilevanza e tentativi falliti di moderazione dei contenuti, l’app si è chiusa nel 2017, per poi risorgere l’anno scorso. A novembre, la società ha dichiarato di aver superato i 2 milioni di utenti.

David Teather ha scoperto la falla

Yik Yak

David Teather, uno studente di informatica con sede a Madison, nel Wisconsin, che ha sollevato problemi di sicurezza a Yik Yak e ha pubblicato le sue scoperte in un post sul blog. L’app mostra i post degli utenti vicini ma mostra solo la posizione approssimativa, ad esempio “a circa 1 miglio di distanza”, fino a cinque miglia, per dare agli utenti un’idea della provenienza degli aggiornamenti nella comunità vicina.

Sebbene Yik Yak prometta l’anonimato, Teather sottolinea che la combinazione di coordinate GPS e ID utente potrebbe rendere anonimi gli utenti e scoprire dove vivono le persone poiché è probabile che molti lo utilizzino da casa e i dati sono accurati entro 300- 400 cm. Questa combinazione di informazioni potrebbe essere utilizzata per perseguitare o osservare una determinata persona e Teather afferma che il rischio potrebbe essere maggiore per le persone che vivono in aree rurali in cui le case sono a più di 300- 400 cmdi distanza perché una posizione GPS potrebbe restringere un utente a un indirizzo.

L’analisi

Come riporta Motherboard, i dati sono accessibili a ricercatori come Teather, che sanno come utilizzare strumenti e scrivere codice per estrarre informazioni, ma il rischio era abbastanza reale da spingere Teather a portarlo all’attenzione di Yik Yak.
“Poiché gli ID utente sono persistenti, è possibile capire la routine quotidiana di un utente su quando e da dove pubblicano Yik Yaks, questo può essere utilizzato per scoprire la routine quotidiana di un particolare utente Yik Yak“, scrive Teather. Ha elencato altri modi in cui i dati potrebbero essere abusati, come scoprire dove vive qualcuno, monitorare gli utenti o irrompere nella casa di qualcuno quando non è lì.
Secondo Motherboard, l’ultima versione dell’app rilasciata da Yik Yak non espone più la posizione precisa e gli ID utente, ma Teather afferma che può ancora recuperare tali informazioni utilizzando le versioni precedenti dell’app.

Le parole di Teather

“Se YikYak lo prendesse più sul serio, limiterebbe la restituzione di questi campi e interromperebbe le versioni precedenti e

Yik Yak l’app social utilizzata nei campus

costringerebbe gli utenti a eseguire l’aggiornamento a una versione più recente dell’app”, ha scritto nel post sul blog.

Sono stato in grado di accedere alle coordinate GPS precise (precise entro 300-400 cm) di tutti i post e commenti sulla piattaforma YikYak, questo lascia a rischio almeno 2 milioni di utenti. Questo numero è probabilmente più alto, poiché questo numero di utenti ha 6 mesi.

Ho rivelato ciò che ho trovato al team di YikYak l’11 aprile 2022. Quasi un mese dopo, l’8 maggio 2022 (1 giorno prima della data di divulgazione pubblica), hanno risposto rimuovendo l’ID utente restituito per post e commenti, tuttavia questo non è sufficiente per proteggere la privacy in quanto è banale recuperare queste informazioni.

Cos’è YikYak

YikYak è un social media di messaggistica pseudonima, in cui gli utenti possono vedere i post entro un raggio di 5 miglia. Ogni utente ha un’emoji e un colore per distinguere gli individui, questi possono essere ripristinati se l’utente lo desidera. Questa funzione consente alle catene di conversazioni di continuare nelle sezioni dei commenti in cui gli utenti possono interagire.

Ogni post ha una posizione ad esso associata in base alla progettazione e quando visualizzi un post l’app mostra quanto sono lontani da te. Il pubblico di destinazione principale di YikYak sono gli studenti universitari nei campus universitari.

Quali dati vengono esposti

Su tutti i post e commenti
Coordinate GPS precise (precise entro 300 – 400 cm)
Un ID utente (persistente in tutti i post anche se un utente reimposta il proprio avatar)

Dopo l’aggiornamento di YikYak dell’8 maggio ci vogliono forse alcuni minuti per indovinare per recuperare questi dati manipolando la query graphql.

La Redazione

Lascia una risposta
Skip to content