Ancora una violazione di dati sensibili nel web, ma stavolta il bersaglio è un sito per adulti che consente agli utenti registrati di caricare video e immagini pornografiche. E tra i fruitori di contenuti erotici che adesso si stanno preoccupando per la loro privacy ci sono anche migliaia di italiani.

A renderlo noto è stato il team di ricercatori esperti di security di vpnMentor, i quali hanno quantificato in oltre un milione il numero di interessati coinvolti in questo "data breach" che ha riguardato "Luscious", un sito internet da 20 milioni di visite al mese con sede in negli Usa, ma tra i malcapitati utenti si cono anche circa 130mila europei, di cui 40mila francesi, 50mila tedeschi, circa 20mila polacchi, e 18mila italiani.

Se i cittadini dell'Ue potranno perlomeno confidare nelle maggiori tutele del Gdpr, d'altra parte non è affatto rassicurante il fatto che sul sito sia presente solo una blanda informativa senza alcun nominativo di un Data Protection Officer né relativi recapiti a cui rivolgersi per esercitare i propri diritti, per cui spetterà soprattutto alle autorità per la protezione dei dati il compito di approfondire l'effettiva gravità della vicenda ed assumere i necessari provvedimenti.

Tra le informazioni esposte vi sono i paesi di appartenenza, il genere e l'attività degli utenti svolte sulla piattaforma con i dettagli di video e file da loro caricati, compresi i relativi "like" e commenti lasciati sul blog del sito, nonché username ed email, che in molti casi contengono nome e cognome delle persone o che permettono comunque di individuare facilmente l'identità degli interessati. Peraltro, tra gli indirizzi di posta elettronica usati per la registrazione sul sito ve ne sono quasi mille con i domini ".gov" e ".edu" ricollegati a dipendenti di autorità governative e istituti scolastici di Brasile, Australia, Malesia, ed anche dell'Italia.

Secondo il rapporto dei ricercatori, tutte le informazioni personali erano non crittografate e prive di un adeguato livello di sicurezza, anche se pare che in seguito alla scoperta, avvenuta il 15 agosto scorso, tali vulnerabilità siano state adesso risolte. Resta il fatto che fino ad allora dei malintenzionati potevano carpire i preziosi dati per utilizzarli in illecite attività di phishing o per scopi di estorsione, minacciando gli utenti di pubblicare su internet tutti i particolari delle loro abitudini sessuali, che in molti casi possono essere a dir poco imbarazzanti.

Trattandosi di una violazione dei dati personali di ampia portata che sembra a tutti gli effetti comportare un rischio elevato per i diritti e le libertà delle persone fisiche, secondo il Gdpr in tal caso i titolari del sito "Luscious" dovrebbero darne comunicazione a tutti gli utenti che sono cittadini dell'Unione Europea entro le 72 ore successive alla scoperta del fatto, facendone anche notifica alla competente autorità per la protezione dei dati.

In attesa di vedere quali saranno gli sviluppi della vicenda, gli utenti di questo sito per adulti non possono far altro che stare a vedere cosa succederà, mettendo in conto che potrebbero ricevere una comunicazione formale della violazione di cui sono stati vittime, o ancora peggio, essere contattati da un hacker che chiede loro un riscatto per non esporli alla gogna mediatica.

Nicola Bernardi, presidente di Federprivacy - @Nicola_Bernardi