L’app di registrazione delle chiamate virale Neon ritirata a seguito di un enorme difetto di sicurezza

L’app di chiamate vocali virale Neon, che ha guadagnato popolarità offrendo agli utenti l’opzione di vendere dati privati alle aziende di intelligenza artificiale, è andata offline giovedì dopo che TechCrunch ha scoperto un grave difetto di sicurezza.

Secondo un reportage esclusivo di TechCrunch, i ricercatori hanno rivelato che gli utenti registrati potevano accedere ai dati privati di altre persone, inclusi elenchi di chiamate recenti, trascrizioni, registrazioni di chiamate e guadagni per chiamata. Il team ha anche scoperto che i server di Neon potevano essere manipolati per rivelare i metadati di altri utenti.

“Abbiamo utilizzato uno strumento di analisi del traffico di rete chiamato Burp Suite per ispezionare i dati di rete che entravano ed uscivano dall’app Neon”, ha scritto TechCrunch. “Il nostro strumento di analisi di rete ha rivelato dettagli che non erano visibili agli utenti normali nell’app Neon. Questi dettagli includevano la trascrizione basata sul testo della chiamata e un indirizzo web ai file audio, che chiunque poteva accedere pubblicamente purché avesse il link.”
TechCrunch ha segnalato la falla di sicurezza al creatore dell’app, Alex Kiam, giovedì, subito dopo aver confermato la violazione dei dati. L’app è stata chiusa poco dopo.Kiam ha detto di aver disattivato i server e informato gli utenti. Poco dopo, ha inviato un’email ai clienti per informarli della chiusura dell’app.

“La vostra privacy dei dati è la nostra priorità numero uno, e vogliamo assicurarci che sia completamente sicura anche durante questo periodo di rapida crescita. Per questo motivo, stiamo temporaneamente disattivando l’app per aggiungere strati di sicurezza extra”, afferma l’email condivisa con TechCrunch.

Neon ha raggiunto oltre 75.000 download solo giovedì, e ha rapidamente raggiunto la cima delle classifiche sui mercati delle app, arrivando al secondo posto nell’App Store come una delle app di social media più popolari.

La piattaforma, promossa come uno “strumento per guadagnare denaro”, offriva agli utenti l’opportunità di vendere le loro conversazioni audio – tra utenti dell’app – per trenta centesimi al minuto, permettendo loro di guadagnare fino a $30 al giorno, oltre ai bonus per il passaparola.

I dati raccolti sono stati offerti alle aziende di intelligenza artificiale “allo scopo di sviluppare, formare, testare e migliorare modelli di apprendimento automatico, strumenti e sistemi di intelligenza artificiale, e tecnologie correlate”, secondo la descrizione di Neon.

Resta ancora poco chiaro quando il servizio di Neon sarà ripristinato e TechCrunch ha notato che l’avviso condiviso con gli utenti non menzionava i dati che erano già stati esposti.

Altre app popolari che di recente hanno scalato le classifiche del marketplace delle app hanno anche affrontato rischi di sicurezza preoccupanti. Tea, un’app di consigli di appuntamenti dedicata alle donne, ha subito un massiccio attacco ai dati proprio dopo aver raggiunto le prime posizioni delle classifiche a luglio, costringendo i suoi sviluppatori a sospendere i servizi.