OnePlus bocciata: l'errore sulla privacy che nessuna multinazionale dovrebbe fare

24 Luglio 2020 148

Si parla tanto di sicurezza dei dati, di tutela dalla privacy, di misure che le grandi aziende adottano per evitare che le informazioni dei propri utenti finiscano nelle mani sbagliate. Poi è sufficiente un banale errore umano e tutti questi sforzi vanno in fumo.

Lo dimostra la vicenda che ha recentemente riguardato OnePlus: il produttore cinese è stato coinvolto in passato in eventi che hanno esposto i dati dei suoi utenti ma quello di cui si discute oggi non ha niente a che fare con un attacco hacker. Riguarda più semplicemente l'uso inappropriato degli strumenti base di un client di posta elettronica, ovvero l'utilizzo del campo A e del campo CCN.

Il fatto: OnePlus ha inviato la stessa mail ad una serie di utenti che avevano partecipato ad un sondaggio sulla OxygenOS (l'interfaccia personalizzata dal produttore e impiegata negli smartphone OnePlus) dopo il rilascio della versione 10.5.11 partito l'8 luglio scorso. Sin qui nulla di male se non fosse per il fatto che anziché inserire gli indirizzi e-mail dei destinatari nel campo CCN chi ha gestito l'invio ha utilizzato il campo A.

La differenza non è da poco: usando il campo CCN (Copia Conoscenza Nascosta) è possibile effettuare l'invio di mail di massa senza che i singoli destinatari possano leggere gli altri indirizzi; invece usando il campo A, ogni destinatario può leggere l'indirizzo e-mail degli altri utenti.

L'errore non è sfuggito a chi ha ricevuto la mail ed ha fatto rapidamente il giro della Rete con tanto di screenshot allegato (ved. sopra), ma opportunamente censurato.

Non è dato sapere l'esatto numero di utenti coinvolti, e non è certo scontato che i membri della lista faranno cattivo uso dell'indirizzo e-mail altrui, ma resta il grave scivolone sul piano mediatico compiuto da un'azienda del calibro di OnePlus da cui non ci si aspetta errori di questo tipo. Per il momento OnePlus non si è pronunciata sull'accaduto.


148

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
claudio santini

E' solo semantica, il gdpr li chiama particolari, ma la legge prima, che per alcuni aspetti è ancora in vigore, li chiama sensibili e sono 30 anni che si parla di dati sensibili e a lavoro come sui media si continua a chiamarli sensibili

sopaug

neanche capisci quello che si scrive. Non ho detto che è sensibile, ho detto che non si dice sensibile ma particolare. E che il contenuto non è detto ce sia dato particolare a termini di gdpr (è comunque un dato meritevole di protezione essendo corrispondenza).

Se poi li tratti per lavoro e nemmeno sai come si chiamano capisco i problemi privacy che affliggono le aziende :)

claudio santini

Tratto i dati sensibili per lavoro, so di cosa sto parlando. puoi pensare quel che vuoi, ma resta il fatto che un indirizzo email per la legge italiana non è un dato sensibile.
Se lo fosse ogni volta che mandi l'email a due persone dovresti chiedergli in anticipo il permesso nel far conoscere il suo indirizzo ad una terza persona. Sarebbe una cosa improponibile

Xanger11

Strano tante aziende di PR commettono questo errore, non dico giornalmente, ma mensilmente si...

Alex

Chiedevo degli altri brand, se sono puliti e se hai dei dati per dire ciò

sopaug

L'ambiguità è sulla traduzione: nemmeno il GDPR considera dato particolare l'indirizzo email, confidential è semplicemente "confidenziale" nel senso di privato, personale, quelli una volta configurati come dati "sensibili", ora definiti appunto "particolari" sono definiti come "special categories". (a prescindere dalla stupidaggine fatta comunque da oneplus eh)

sopaug

ripeto, non sai di cosa stai parlando. Studia prima di scrivere.

sopaug

il contenuto delle email non è dato PARTICOLARE. Non sai di cosa parli.

sopaug

a parte che si dice "particolare"da anni e non più "sensibile", ma cosa cambia nella sostanza? Trattasi sempre di dati personali.

sopaug

eh ma Oneplus...

Roba da matti. Se fanno questo con le mail pensate agli strafalcioni nei sw dei vostri telefoni, ai quali affidate la vostra vita.

Dennis Lee

Vabeh dai...

Samuele Capacci

ho letto che launcher alternativi non funzionano benissimo sui oneplus in generale, quindi io non ne ho mai installati di alternativi su op7t (di solito installavo il microsoft launcher)

Teo

Non veniva bloccato nulla, la CCN è un campo previsto dall’RFC2822

Manuel Bianchi

TA cos'è scusa?

Manuel Bianchi

Chiaro che non facendo nulla è dfficile sbagliare, ma non è che sia automatico sbagliare per chi fa qualcosa. In più ci sarebbero i sistemi di controllo per prevenire errori grossolani. Io oltre ad essere preoccupato di quello che fanno con i miei dati le Software House cinesi non è che mi senta così a mio agio neppure con l'utilizzo che ne faranno quelle americane, o di qualsiasi altro paese.

AB
Matteo

Si, capisco che la legge è così ma trovo comunque che certe informazioni dovrebbero essere solo dietro previa informazione e consenso dell’individuo. Salvo, ovviamente, giusta causa o fini legali.

Uscendo da questi casi delicati, i dati di contatto sono oggetto di commercio tra call-center e varie agenzie promozionali. Ciò che ne deriva è al limite della molestia.

claudio santini

scusami, mi correggo. L'indirizzo email non è un dato sensibile, le singole email che invii o ricevi si, quelle lo sono. Avere il tuo indirizzo e-mail non permette a nessuno di leggere le tue mail

claudio santini

Così è la legge. I dati dell'anagrafe sono pubblici. Se io devo inviarti una ingiunzione di pagamento il mio avvocato dove la invia? L'indirizzo di residenza deve essere pubblico. Essendo anche pubblico il Codice Fiscale, tutti i dati che servono per formularlo, sono anch'essi pubblici (nome, cognome, data e luogo di nascita). Riguardo ai procedimenti penali, molto spesso mi sono stati chiesti prima di essere assunto, ma cmq si possono chiedere di chiunque, basta pagare. Secondo te Travaglio come fa a sapere i procedimenti penali di tutti i politici? semplicemente, manda qualcuno in tribunale a richiederli. Costano circa 6€ l'uno se non sbaglio. Una azienda ha il diritto di sapere se chi assume abbia o meno precedenti penali. Uno che è stato condannato per reati di furto aggravato, abuso di ufficio o corruzione, lo assumeresti in una tua azienda?
Alcuni dati, cmq non sensibili, come la mail o il telefono o lo stato civile, possono essere resi privati inviando una richiesta al soggetto che li detiene (per esempio le compagnie telefoniche hanno il tuo numero che possono dare a terzi a meno che tu non gli comunichi che non vuoi). Resta il fatto che alcune cose come la residenza ed i precedenti penali degli ultimi 5 anni sono dati pubblici e accessibili da chiunque voglia. In alcuni paesi del nord europa puoi sapere i precedenti penali delle persone anche per telefono

OnlyKekko

Essendo molto d’accordo con te sul fatto che un errore del genere lo poteva fare mia nonna, l’errore è sicuramente del singolo, ma i singoli vengono formati e gli vengono dati degli strumenti aziendali.
In questo caso lo strumento aziendale dovrebbe essere uno strumento per inviare newsletter che NON sia un client di posta, per motivi che vanno anche oltre al banale errore nell’articolo.
Però rende perfettamente la misura di dove e come alcune aziende risparmiano per contenere i prezzi di vendita.

OnlyKekko

Ma no dai...
Avessero utilizzato il campo CCN molti server di posta avrebbero bloccato l’invio.. ma tutti nel campo A come in prima media no...

PistacchioScemo

mi sorprendo di chi si sorprende...

dicolamiasisi

basta guardare l'indirizzo mail mittente

Matteo

Indirizzo di residenza, data di nascita, email e numero di telefono sono soggetti alle normative sulla privacy per il trattamento dei dati personali a livello internazionale.

Io trovo la normativa italiana alquanto sbagliata. Se il mio indirizzo di residenza viene dato pubblicamente da una PA e poi inizio a ricevere pubblicità per posta, visite a casa ecc. mi girano. Lo stato civile non sarà un dato sensibile ma in molti contesti non deve essere chiesto, vedi un colloquio di lavoro. I procedimenti penali idem, dovrebbe essere dato solo su richiesta di background check e perché richiesto dalla professione. Sono tutte informazioni che possono influire sul giudizio e portare a discriminazioni in ambito professionale.

Dado401

Ot: c'è modo di usufruire delle animazioni di android 10 su Launcher di terze parti? Qualcuno di voi ha lag, rallentamenti o freezer su op8? Grazie

Tiwi

principianti

Valoroso Guerriero

Sì, basta che ti vai a vedere la lunga lista di menzogne e vaccate che hanno combinato. Di cui puoi vedere il più recente esempio nell'articolo qua sopra.

Adri949

Dato che la uso molto di rado, cosa succede se lo fai?

Adri949

Il nesso col sw sarebbe?

Samuele Capacci

Eh già, che follia

Aster

E soprattutto il modem del operatore con firmware bugato di anni fa

Alex

Hai dei dati per dire ciò? Oppure dai fiato alla bocca senza nulla?

claudio santini

nell'adeguamento italiano non è considerato sensibile, perché paragonato all'indirizzo di residenza che non lo è

claudio santini

dati anagrafici, stato civile, procedimenti penali degli ultimi 5 anni, mail e telefono non sono dati sensibili! Lo sono, invece, l'orientamento sessuale, l'orientamento politico, i dati sanitari, le abitudini commerciali, la liquidità sul contocorrente, il curriculum vitae, i luoghi frequentati, ecc ecc. Il numero della Carta di Credito/Debito è invece un dato segreto (soggetto a restrizioni maggiori dei dati sensibili).
L'email è un indirizzo esattamente come quello fisico di residenza, accessibile all'anagrafe, o verificabile col cognome sul citofono. Così come stabilito dal d. lgs 196/2003 e dal GDP 679/16.

Praticamente tutto ciò che viene pubblicato sui social sono dati sensibili mentre le informazioni personali che sui social tendenzialmente vengono nascoste (Anagrafica, mail telefono ecc) non lo sono

dario

È facile che commetta l'errore mia nonna, non il dipendente di una multinazionale miliardaria che opera nell'informatica.
Detto questo, l'azienda non ha colpe particolari, l'errore è del singolo.
Può succedere ma non deve succedere.
Il sistema sarà obsoleto ma è comunque funzionale.
L'unica miglioria potrebbe essere che dai due destinatari in su quando si inseriscono gli indirizzi in a: o in cc: prima di inviarla il sistema chieda conferma avvertendo che tutti vedranno tutto.
Ma ripeto, è una funzione che dovrebbe essere utile a mia nonna, non a un dipendente di oneplus.

Pablo Escodalbar

Non qui. Ma ne hanno parlato in un altro articolo della multa.

Aster

io ho risolto con una bussola militare da 2 euro

Giulia Rossi

Ma nell'articolo nessuno ha parlato di multa... E soprattutto non sono avv. Difensore di nessuno. Evidenziavo solo che il servizio di posta elettronica ha problemi intrinseci che purtroppo non sono stati risolti

Pablo Escodalbar

Io invece non ho tutta questa pazienza come te.

Pablo Escodalbar

Perdera' il lavoro?
Gli faranno pagare a lui la multa da 800000 euro come minimo.

Pablo Escodalbar

Devo dire queste cose ad un mio amico stalker.
Ne sara' felice.

Aster

io speravo nella versione nord-ovest per vedere la cometa,pazienza aspetto altri 6000 anni

Pablo Escodalbar

Digli che viola il gdpr.
Se sa cosa sia.

Pablo Escodalbar

Sembra un commento alla notizia scritto da Trump.

Pablo Escodalbar

Questi sono piu' mattacchioni di John Malkovic.

The frame

Chi fa, sbaglia. Non esageriamo, la sola conoscenza di un indirizzo e mail non é così grave. Io sarei più preoccupato invece di come usano in miei dati i Software cinesi in generale.

Pablo Escodalbar

Non ti tirartela tanto.
Lo faceva pure la mia!

Pablo Escodalbar

Si mi ricordo bene.
Quelli di Nielsen dovrebbe mandarli tutti a lavari i piatti!

Pablo Escodalbar

Il mondo e' vario come il mio yogurt di ieri.

Pablo Escodalbar

Con questa spiegazione forse si possono evitare la multa.

Sky Wifi: l'offerta in fibra (FTTH) è ufficiale. Come funziona e quanto costa

App Immuni è disponibile al download su Android e iOS

Covid-19: come non cadere nella trappola della falsa informazione | Podcast

Apple e Google, più privacy per le app di tracciamento: cosa cambia per l'utente