La aplicación de seguimiento de períodos Stardust subió a la cima de la tienda de aplicaciones de Apple de EE. UU. a raíz de la decisión de la Corte Suprema de revocar Roe v. Wade después de que la aplicación prometiera que cifrará los datos privados de sus usuarios para mantenerlos fuera del alcance del gobierno. .
Pero TechCrunch descubrió el lunes que la versión actual de la aplicación Stardust, ahora en auge, comparte los números de teléfono de los usuarios de la aplicación con una empresa de análisis de terceros, que podría usarse para identificar a los usuarios individuales de la aplicación.
La decisión de anular Roe revirtió 50 años de protecciones constitucionales para el derecho al aborto en los Estados Unidos, permitiendo que estados individuales crearan leyes para penalizar el aborto. La decisión ha dado lugar a llamados para que los usuarios eliminen sus aplicaciones de seguimiento de períodos de sus teléfonos, por temor a que los datos recopilados por estas aplicaciones puedan usarse en su contra para demostrar que un aborto se obtuvo ilegalmente.
Otros están abandonando sus rastreadores de períodos actuales y recurriendo a aplicaciones como Stardust como resultado de la empresa. declaración fuerte emitido a la luz de la decisión de revocar Roe. Stardust dijo que implementaría el cifrado de extremo a extremo para que “no pudiera entregar ninguno de los datos de seguimiento de su período” al gobierno, lo que ayudó a atraer cientos de miles de descargas durante este fin de semana antes del lanzamiento del nueva versión de la aplicación con funciones de encriptación programada para su lanzamiento el miércoles.
TechCrunch realizó un análisis de tráfico de red de la aplicación para iPhone de Stardust el lunes para comprender qué datos entraban y salían de la aplicación. El tráfico de la red mostró que si un usuario inicia sesión en la aplicación con su número de teléfono (en lugar de a través de un servicio de inicio de sesión proporcionado por Apple o Google), Stardust compartirá periódicamente el número de teléfono del usuario con un servicio de análisis de terceros llamado Mixpanel.
Mixpanel es un servicio de análisis que utilizan ampliamente los desarrolladores de aplicaciones para realizar un seguimiento del uso de sus aplicaciones y ayudar a identificar errores u otras formas de mejorar la aplicación. Lo hace rastreando cómo alguien usa la aplicación y enviando los datos a los servidores de Mixpanel. Stardust también compartió con Mixpanel detalles sobre el teléfono en el que se instaló la aplicación, qué modelo de iPhone y versión de software y a qué operador de telefonía celular estaba conectado el teléfono.
Durante el análisis del tráfico de red, TechCrunch no vio datos de salud compartidos con Mixpanel. Pero compartir un número de teléfono que está vinculado a un usuario específico de una aplicación de seguimiento de períodos con un tercero como Mixpanel podría permitir a los fiscales obligar a Mixpanel a entregar esos datos, incluso si Stardust afirma que no puede hacerlo.
La fundadora de Stardust, Rachel Moranis, dijo a TechCrunch: “La versión actual (antigua) de Stardust aprovecha varios mecanismos de recopilación de datos de Mixpanel que hemos desactivado/eliminado en la nueva versión. Además de no enviar [personally identifiable information] a Mixpanel, también hemos deshabilitado el seguimiento de IP para proteger a nuestros usuarios de los metadatos que se utilizan para identificar a nuestros usuarios”.
En un tuitStardust dijo que estaba “trabajando” en una forma de permitir que los usuarios inicien sesión de forma anónima.
Política de privacidad de Stardust, actualizado el 26 de junio, indica que la aplicación no está tan protegida como afirma. Señala que la aplicación recopila una variedad de datos sobre los dispositivos, la actividad y la ubicación de los usuarios, incluso a través de cookies y otras tecnologías de seguimiento. También establece algunas excepciones con respecto al intercambio de datos, señalando cómo puede divulgar datos despersonalizados con algunos proveedores, con el consentimiento del usuario o cuando lo exija la ley, si debe “cumplir o responder a la aplicación de la ley o un proceso legal”. o una solicitud de cooperación por parte de un gobierno u otra entidad, ya sea legalmente requerida o no”.
Esto también parece contradecir la parte de la política que insiste en que la empresa nunca compartirá las edades de los usuarios ni “ningún dato relacionado con su salud con terceros”.
Desde la anulación de Roe, las empresas tecnológicas están preparándose para un nuevo régimen bajo el cual podrían enfrentar órdenes legales que obliguen a la entrega de datos de usuarios relacionados con el embarazo a las autoridades estatales y fiscales. Algunas de las mayores empresas tecnológicas todavia no he dicho cómo manejarían las demandas de datos relacionados con investigaciones relacionadas con personas que buscan o brindan abortos. Eso contribuyó a la prisa por encontrar aplicaciones y servicios que usan encriptación de extremo a extremo, lo que evita que cualquier persona, incluso el fabricante de la aplicación, acceda a los datos de un usuario.
Gracias a su anuncio de que pasará al cifrado, la aplicación de Stardust atrajo 135 000 nuevas instalaciones el 24 de junio, un aumento del 4400 % en la cantidad de instalaciones que vio el día anterior, unas 3000 instalaciones, según datos de la firma de inteligencia de aplicaciones. Torre de sensores. El sábado 25 de junio, la aplicación registró otras 200 000 instalaciones y alcanzó el número 1 en la App Store de EE. UU., por encima de su clasificación anterior del n.° 119. Combinados, los dos días de fin de semana generaron el 82 % de las más de 400 000 instalaciones totales de por vida de Stardust. .
TechCrunch pidió a los fundadores más información sobre cómo la aplicación implementa el cifrado de extremo a extremo. El fundador de Stardust, Moranis, le dijo a TechCrunch que “todo el tráfico a nuestros servidores se realiza a través de SSL estándar (alojado en AWS) y el almacenamiento de datos posterior en AWS RDS utilizando su implementación de cifrado AES-256 incorporada”. Aunque esto describe el uso del cifrado para proteger los datos mientras están en tránsito y mientras están almacenados en los servidores de Amazon, no está claro si esta implementación se consideraría un verdadero cifrado de extremo a extremo.
Dada su complejidad y lo que está en juego, implementar el cifrado de extremo a extremo es a menudo un esfuerzo que requiere mucho tiempo y recursos, donde una sola falla de codificación podría socavar la protección de los datos de los usuarios. Tampoco es raro que las empresas que utilizan el cifrado de extremo a extremo publiquen documentos y notas técnicas que explican cómo funcionan sus sistemas, a menudo incluso un motivo de orgullo para algunas empresas, o incluso que abren el código y publican su código, como prueba criptográfica de que sus sistemas son seguros.
Cuando se le preguntó si la empresa había realizado una auditoría de seguridad de terceros del código de la aplicación, Moranis dijo que la empresa tiene la intención de “publicar completamente nuestra implementación junto con una auditoría de terceros una vez que esté completa”, pero no se dio un cronograma. (TechCrunch hará un seguimiento cuando los resultados de la auditoría estén disponibles).
Después de que supimos de Stardust, la compañía cambió silenciosamente su política de privacidad nuevamente para eliminar las menciones de cifrado de extremo a extremo.
Es difícil discutir con los temores de la gente: la industria de las aplicaciones de seguimiento del período ya fue encontrado tener comprometido en prácticas de intercambio de datos filtrados con empresas de seguimiento y análisis de terceros, así como con gigantes tecnológicos como facebook y google. Una aplicación, Flo, tuvo que llegar a un acuerdo el año pasado con la Comisión Federal de Comercio de EE. UU. por violar su propia política de privacidad. Entre otras cosas, la aplicación había afirmado falsamente que solo compartía información de “identificación no personal” con terceros, lo que un investigación del Wall St. Journal resultó ser falso.
Otra aplicación, Glow, tuvo que conformarse con el estado de California el año anterior por exponer información médica de mujeres.
Consumer Reports dijo En Mayo que muchas aplicaciones continúan usando rastreadores de terceros y no almacenan los datos de los consumidores localmente en sus dispositivos donde no se pueden compartir ni vender.
Además, aplicaciones de seguimiento del período no tienes que cumplir con la ley federal de privacidad conocida como Ley de Portabilidad y Responsabilidad del Seguro Médico, o HIPAA.
Sin embargo, con la amenaza de perder todas sus bases de usuarios, muchos rastreadores de períodos emitieron declaraciones para garantizar que los datos de los clientes estén seguros. Flo, que completó una revisión de privacidad independiente en marzo, dijo que hará “todo lo que esté a su alcance” para proteger los datos y la privacidad de los usuarios. También dijo que lanzaría una nueva función de “Modo anónimo” que elimina las identidades personales de los usuarios de sus cuentas de Flo.