Scruff acquisisce Jack'd, l'app di appuntamenti che ha mostrato i nudi degli utenti

Tecnico


Scruff acquisisce Jack'd, l'app di appuntamenti che ha mostrato i nudi degli utenti

Solo due settimane dopo essere stata multata per centinaia di migliaia di dollari per aver esposto le foto di nudo dei suoi utenti, l'app di appuntamenti Jack'd ha trovato il segnale di uscita.

Scruff, un'app di appuntamenti privata che si rivolge a uomini gay e bisessuali, ha acquistato Jack'd per una somma non divulgata. L'acquisizione arriva mentre Jack'd tenta di superare uno scandalo sulla privacy e rassicurare gli utenti che le loro comunicazioni intime rimangono nascoste da occhi indiscreti.


[Divulgazione completa: The Daily Beast è di proprietà di IAC, che possiede anche Match Group, la società che gestisce Tinder, OkCupid, Hinge e altre app di appuntamenti.]

Il 28 giugno, Online Buddies, la società madre di Jack'd, che possiede anche il sito di incontri gay Manhunt, ha accettato di pagare $ 240.000 in un accordo con l'ufficio del procuratore generale di New York dopo che quasi 2.000 utenti di New York hanno mostrato le loro foto di nudo tramite un server cloud di Amazon non protetto. Una seconda vulnerabilità ha inoltre esposto i dati sulla posizione degli utenti, l'ID del dispositivo, la versione del sistema operativo, la data dell'ultimo accesso e le password con hash.

Jack'd consente a un utente di caricare un album di foto pubbliche sul proprio profilo ('nudità vietata', le istruzioni dirette) e un altro album di foto private che richiedono l'autorizzazione per la visualizzazione. Queste immagini nascoste non comportano tale vincolo sui contenuti sessualmente espliciti. Entrambi i tipi di foto, tuttavia, sono stati lasciati allo scoperto sul server non protetto.

Oltre alla sanzione, la società si è impegnata a migliorare sostanzialmente la sicurezza della sua app come parte dell'accordo.


Online Buddies rimane responsabile del pagamento della multa, secondo un portavoce dell'ufficio del procuratore generale, ma la società madre di Scruff, Perry Street Software, sarà ora responsabile dell'implementazione degli aggiornamenti di sicurezza. Il portavoce ha aggiunto che l'ufficio intende garantire il rispetto dei termini dell'accordo e la tutela della privacy degli utenti.

'L'opportunità di acquisire Jack'd è stata particolarmente unica', ha detto a The Daily Beast Eric Silverberg, CEO di Perry Street.

'Jack'd è stato uno dei primi e più grandi spazi queer e app queer sul mercato', ha detto Silverberg, aggiungendo che l'acquisizione è un'opportunità per Scruff di espandersi in mercati come l'Asia orientale.

Silverberg ha affermato che Perry Street aveva sempre in programma di rivedere la tecnologia di Jack'd, ma che la sua azienda aveva notificato al procuratore generale le trattative di acquisizione per garantire che le loro intenzioni fossero in linea con i termini dell'accordo. Jack'd continuerà a funzionare come app autonoma.


La società afferma che prevede di riprogettare l'app da zero, migliorando i controlli degli utenti di Jack sulla loro privacy e riorganizzando le funzionalità chiave. Anche l'esperienza pubblicitaria cambierà: Scruff ha smesso di mostrare agli utenti la pubblicità programmatica alla fine del 2018 e Jack'd seguirà l'esempio dopo l'acquisizione.

Il procuratore generale ha penalizzato gli amici online non solo per il fallimento della sicurezza, ma anche per aver guardato dall'altra parte dopo essersene accorto. Sebbene il difetto sia stato segnalato pubblicamente per la prima volta in Febbraio 2019 , un ricercatore di sicurezza aveva notificato alla società la vulnerabilità un anno prima senza alcun effetto.

Perry Street è venuta a conoscenza della violazione contemporaneamente al pubblico in generale, secondo Silverberg, anche se la società era da più di sei mesi nelle discussioni sull'acquisizione di Jack'd. Ha fatto saltare la risposta di Online Buddies al problema.

“[Perry Street] darà sempre la priorità a questo tipo di problemi. Non riesco nemmeno a immaginare uno scenario in cui qualcuno potrebbe portare questo alla nostra attenzione e non lo affronteremmo immediatamente. Era francamente insondabile per noi quando ne abbiamo letto per la prima volta a febbraio', ha detto, aggiungendo che Scruff non ha resistito a una violazione dei dati.


Silverberg, che si identifica come gay, ha affermato che il lavoro di protezione della privacy degli utenti ha una particolare risonanza per lui poiché lui e altri a Perry Street sono membri della comunità LGBTQ e utenti del proprio prodotto.

'Se c'è qualche suggerimento di una violazione dei dati o di un problema di sicurezza, interrompiamo ciò che stiamo facendo e lavoriamo incessantemente fino a quando non viene risolto', ha affermato. “Il lavoro che svolgiamo è personale per i nostri membri ed è personale per noi. Condividiamo la nostra community, condividiamo questa app, con i nostri amici e i nostri cari'.

Jack'd non è solo tra i suoi problemi di privacy. Diverse altre app di appuntamenti di alto profilo hanno subito violazioni o non sono riuscite a proteggere i propri utenti negli ultimi anni. È stato scoperto che l'app di incontri gay Grindr condivide lo stato e la posizione dell'HIV degli utenti con società di ottimizzazione di app di terze parti in aprile 2018 , anche se ha promesso di smettere.

Una vulnerabilità di Tinder esposta l'anno scorso ha permesso agli hacker di prendere il controllo degli account usando solo un numero di telefono . La società lo ha corretto prima della divulgazione. A febbraio, alcuni utenti di OkCupid account violati segnalati , ma la società ha negato una violazione dei dati. OkCupid, Match e altri importanti siti di incontri non offrono ancora l'autenticazione a due fattori, uno dei modi più affidabili per gli utenti di proteggere gli account.