Mi considero una persona abbastanza attenta alla privacy, che fa di tutto per evitare il tracciamento online e, per la maggior parte, evita la posta indesiderata. Ma quando mi sono ritrovata a fissare il mio indirizzo di casa sul sito web di un’azienda di cui non avevo mai sentito parlare, ho capito che da qualche parte avevo sbagliato.

Pochi giorni prima della scadenza dell’affitto, alla fine di aprile, il mio compagno ha ricevuto un’e-mail dal proprietario del nostro condominio che parlava di un nuovo modo di pagare l’affitto raccogliendo punti premio, come in un programma di fidelizzazione. Si trattava di una buona offerta in un momento in cui gli affitti sono a livelli record, così ha cliccato e si è caricato il sito web della società di premi per affitti Bilt Rewards, mostrando in modo evidente il suo nome e cognome e il numero del nostro appartamento.

Già questo era abbastanza allarmante. Il nostro condominio aveva fornito i suoi dati a Bilt e ora li stavamo guardando sul suo sito web. Non ho mai ricevuto l’e-mail che ha ricevuto il mio collega. Ma ero curioso: Bilt aveva anche i miei dati?

Ogni volta che ha cliccato sul link contenuto nell’e-mail, si è aperta la stessa pagina web personalizzata di Bilt che mostrava il suo nome e il numero dell’appartamento, perché la pagina web recuperava le sue informazioni direttamente dai server di Bilt tramite un’API. (Un’API consente a due cose di parlare tra loro su Internet, in questo caso i server di Bilt che memorizzano le nostre informazioni e il suo sito web). È possibile vedere tutto ciò utilizzando gli strumenti per sviluppatori del browser, senza dover ricorrere a trucchi particolari. Utilizzando gli strumenti del browser, è stato inoltre possibile vedere che il sito web ha recuperato anche il nome del condominio in cui viviamo, anche se non era visualizzato sul sito web di Bilt.

Nel migliore dei casi si trattava di un grossolano tentativo di personalizzare una pagina di iscrizione, nel peggiore di una violazione del nostro indirizzo di casa. Ma era anche possibile recuperare le stesse informazioni direttamente dai server di Bilt usando solo il suo indirizzo e-mail – senza bisogno di un link speciale – il che, come per molti di noi i cui indirizzi e-mail sono pubblici, purtroppo non avrebbe richiesto molte congetture.

Ho inserito il mio indirizzo e-mail e il sito ha restituito il mio nome, il nome dell’edificio e il numero dell’appartamento, tutti dati uguali a quelli della mia partner. Come è stato possibile che una startup di cui non avevo mai sentito parlare fino a quel momento abbia ottenuto e diffuso il mio indirizzo di casa?

Sono uno dei circa 50 milioni di affittuari negli Stati Uniti. Vivo alle porte di New York con la mia compagna e i nostri due gatti in un condominio di proprietà di Equity Residential, uno dei più grandi proprietari aziendali degli Stati Uniti con oltre 80.000 appartamenti in affitto gestiti. Anche in questo caso, Equity è uno dei circa 20 proprietari aziendali, tra cui Blackstone, AvalonBay e Starwood, che rappresentano più di due milioni di case, ovvero circa il 4% di tutti gli alloggi in affitto negli Stati Uniti..

Ecco Bilt, una delle tante startup emerse grazie al recente boom del settore delle tecnologie immobiliari, o proptech, come è ampiamente noto. Bilt è stata fondata dall’imprenditore Ankur Jain nel giugno 2021 e consente agli affittuari di guadagnare premi ogni volta che pagano un affitto. Grazie a partnership con la maggior parte dei più grandi proprietari aziendali, Bilt offre il suo programma di ricompense per gli affitti a più di due milioni di case in affitto negli Stati Uniti, comprese le case come la mia, di proprietà di Equity.

Ho iniziato pensando a questa vicenda come a qualsiasi altra storia di violazione di dati di cui mi sono occupato in passato e volevo sapere chi altro fosse stato colpito.

La mia prima telefonata è stata fatta a un vicino di casa dello stesso edificio, che quando gli è stato detto che il sito web di Bilt aveva fatto trapelare il mio indirizzo, ha accettato di controllare se anche lui era stato colpito. Ho tirato fuori il mio portatile e abbiamo inserito il suo indirizzo e-mail nell’API di Bilt, che ha immediatamente restituito il suo nome, il nome dell’edificio e il suo numero di appartamento; il suo volto è passato dalla trepidazione all’orrore, proprio come aveva fatto il mio all’inizio della giornata.

La mia seconda telefonata è stata fatta a Ken Munro, fondatore dell’azienda britannica di test di cybersicurezza Pen Test Partners, un nome che potreste conoscere per precedenti incontri con servizi online che presentano falle, come le biciclette Peloton, le applicazioni per smartphone e gli occasionali giocattoli sessuali. A mia insaputa, uno dei suoi colleghi americani ha un appartamento nel mio palazzo e mi ha confermato che anche i dettagli del suo indirizzo di casa erano stati esposti dall’API.

Ora siamo a quattro persone le cui informazioni sono state esposte dal sito web di Bilt, che è stato oggetto di una falla, semplicemente conoscendo il loro indirizzo e-mail.

Ho contattato Bilt, la cui risposta non è stata delle migliori.

“L’API che avete inviato qui sotto funziona come previsto”, ha risposto Jain, ora amministratore delegato di Bilt. (Jain ha dichiarato la sua e-mail “off the record”, il che richiede che entrambe le parti concordino in anticipo i termini. Ho detto a Jain che avremmo pubblicato le sue risposte, dato che non c’era la possibilità di rifiutarle).

“L’unica eccezione è rappresentata da una manciata di edifici gestiti da Equity Residential, che non hanno ancora integrato Bilt nel portale dei residenti”, ha dichiarato Jain. “Ma dato il numero ridotto di edifici, Equity ha deciso di rischiare inviando inviti via e-mail e landing page con un approccio più manuale nel breve periodo. Per questo piccolo gruppo di edifici pilota, le landing page generate con questa API richiedono solo l’invio di e-mail”, ha aggiunto.

Jain ha affermato che le informazioni restituite dall’API “sono ampiamente e facilmente disponibili attraverso qualsiasi ricerca di documenti pubblici” e che “non ci sono informazioni private divulgate attraverso questa API che non siano disponibili in questi documenti pubblici”. (Jain e io dovremo concordare di non essere d’accordo, dato che fino a questo momento avevo tenuto il mio indirizzo di casa in gran parte fuori da Internet – e in ogni caso, solo perché le informazioni personali di qualcuno sono rese pubbliche in un posto non è una giustificazione per renderle pubbliche da qualche altra parte).

Interpellato per un commento, il portavoce di Equity Marty McKenna ha dichiarato: “Stiamo utilizzando questo processo in un numero limitato di edifici mentre completiamo la nostra integrazione con Bilt. Non crediamo che si tratti di un problema di sicurezza”, ha dichiarato McKenna.

McKenna ha ripetutamente rifiutato di dire quanti edifici Equity avessero residenti le cui informazioni sono state esposte. Ma le informazioni trapelate hanno lasciato indizi che suggeriscono che il numero potrebbe essere di almeno 21 edifici Equity, per un totale di migliaia di inquilini”. Alla domanda sul numero di edifici, McKenna non ha contestato la cifra.

Alla fine, il 26 maggio, quasi un mese dopo il mio primo contatto, la Bilt ha tappato la sua falla nell’API.

Tuttavia, non era ancora chiaro come Bilt avesse ottenuto le mie informazioni, senza alcun riferimento alla raccolta o alla condivisione dei dati nel contratto di locazione da me firmato.

McKenna ha risolto il mistero, dicendomi che: “Equity Residential condivide le informazioni con i fornitori di servizi per consentire la fornitura di servizi ai nostri residenti. La nostra autorità in tal senso è contenuta nelle nostre Condizioni d’uso e nella nostra Politica sulla privacy, disponibili sul nostro sito web”.

La risposta breve è sì, l’informativa sulla privacy sul sito web che nessuno pensa – né io ho pensato – di leggere. Dal momento in cui si entra in un edificio di Equity, la sua informativa sulla privacy consente un’ampia gamma di raccolte di dati, anche offline, come i dati che vengono raccolti su di voi quando firmate un contratto di affitto di un appartamento. La maggior parte di questi dati può essere condivisa con aziende terze per un ampio numero di motivi, come l’offerta di servizi per conto di Equity. Aziende come Bilt, secondo la politica, “possono avere accesso a [to personally identifiable information] al fine di fornire questi servizi a noi o per nostro conto”.

E non si tratta di un’esclusiva di Equity. Molte altre società proprietarie utilizzano un linguaggio simile nelle loro politiche sulla privacy che dà loro ampia libertà di raccogliere, utilizzare e condividere o vendere le informazioni personali.

AvalonBay, che possiede 79.000 appartamenti in tutta la costa orientale degli Stati Uniti, utilizza lo stesso linguaggio, parola per parola, nelle informative sulla privacy di Equity. nella sua politica sulla privacy sulla trasmissione di informazioni personali sui propri inquilini a terzi con cui collabora. Tra questi possono esserci servizi di lavanderia, fornitori di parcheggi o, come nel caso di Bilt, processori di pagamento dell’affitto. E il numero di terze parti che hanno accesso ai vostri dati personali può aumentare rapidamente.

Erin McElroy, professore assistente presso il Dipartimento di Studi Americani dell’Università del Texas ad Austin, la cui ricerca comprende il proptech e l’edilizia abitativa, ha dichiarato a TechCrunch che, man mano che l’abitazione viene trattata come una merce piuttosto che come un diritto o un bene sociale. Con gli inquilini sempre più inquadrati come consumatori, gran parte di ciò che una persona potrebbe sperimentare quando utilizza un determinato prodotto o servizio ora lo sperimenta anche come inquilino. “È strategico e parte integrante dell’aziendalizzazione e della finanziarizzazione dell’edilizia abitativa che gli inquilini non pensino a se stessi come consumatori e leggano tutte le clausole dei loro contratti di locazione, immaginando che possa accadere qualcosa del genere”, ha detto McElroy.

Alcune politiche sulla privacy si spingono oltre. La GID, che possiede più di 86.000 unità abitative, ha una politica sulla privacy che le consente esplicitamente di vendere ampie quantità di informazioni personali dei suoi inquilini alle sue affiliate, ad altre società di gestione e a broker di dati che raccolgono, combinano e vendono ulteriormente le vostre informazioni a terzi.

“È molto comune avere una politica sulla privacy che regola l’uso dei dati”, ha detto a TechCrunch Lisa Sotto, avvocato specializzato in privacy e partner di Hunton Andrews Kurth, in una telefonata. Sotto ha affermato che le politiche sulla privacy non sono parole vuote: “Sono regolamentate dalla Federal Trade Commission, che vieta le pratiche commerciali sleali o ingannevoli”.

La FTC può intervenire, e talvolta lo fa, contro le aziende che fanno un uso improprio dei dati o che hanno pratiche di sicurezza inadeguate, come le società di dati ipotecari che espongono informazioni personali sensibili, i tentativi di insabbiare le violazioni dei dati e le aziende tecnologiche che non rispettano le promesse sulla privacy. Come gli avvocati dello studio legale Orrick hanno scritto: “Il fatto che possiate vendere i dati dei vostri inquilini non significa che dobbiate venderli”.

Ma non esistono norme che proteggano specificamente la condivisione delle informazioni personali degli inquilini.

È invece compito di ogni Stato legiferare. Solo pochi Stati americani – California, Connecticut, Colorado, Utah e Virginia – hanno approvato leggi sulla privacy che proteggono i consumatori in quegli Stati, ha detto Sotto. Al momento in cui scriviamo, solo la legge della California è in vigore.

La California è stata il primo stato americano a promulgare diritti individuali sulla privacy, simili a quelli offerti a tutti gli europei dal GDPR. Il California Consumer Privacy Act, o CCPA, come è noto, è entrato in vigore nel gennaio 2020 e garantisce ai californiani il diritto di accedere, modificare e cancellare i dati raccolti da aziende e organizzazioni. Il CCPA è diventato un’importante spina nel fianco per le aziende affamate di dati perché la legge le ha costrette a ritagliare ampie eccezioni nelle loro politiche sulla privacy per consentire ai californiani il diritto di rinunciare alla vendita dei loro dati a terzi. Inoltre, spesso le aziende dovevano offrire una politica sulla privacy completamente separata per i residenti in California, proprio come aveva fatto il GDPR anni prima.

Il CCPA, come il GDPR, è a dir poco imperfetto. Tuttavia, essendo la prima legge sulla privacy a livello statale negli Stati Uniti, ha stabilito il punto di riferimento per gli altri Stati da seguire e, idealmente, da migliorare nel tempo.

La Virginia è il prossimo Stato con una legge che entrerà in vigore nel gennaio 2023. Ma i critici hanno definito il disegno di legge “debole”, oltre a riferire che il testo del disegno di legge era scritto da da lobbisti di Amazon e Microsoft, che lavorano per servire i loro interessi aziendali. I giganti del settore tecnologico sostengono e spingono leggi sulla privacy degli Stati, come quello della Virginia, che sono oggetto di forti pressioni da parte delle lobby. con l’obiettivo finale di indurre una legislazione federale che creerebbe regole generali più deboli in tutti gli Stati Uniti che sostituirebbero il mosaico di leggi statali, comprese quelle della California, dove le regole sono le più severe.

Ma mentre una parte degli americani è coperta da alcune leggi sulla privacy, la maggior parte vive in Stati che hanno poche o nessuna protezione contro la condivisione delle informazioni di una persona.

“C’è davvero una scarsità di leggi”, ha detto McElroy. “Gli inquilini non vengono informati in generale su quali tipi di dati vengono raccolti su di loro. Non hanno la possibilità di dare il loro consenso e non ricevono alcun tipo di indicazione sui potenziali danni”.

Mi sarei trasferito in questo appartamento sapendo che il mio padrone di casa avrebbe condiviso i miei dati personali con terze parti che non si sono preoccupate di proteggerli? Forse no. Ma con affitti alle stelle e un’incombente recessione economica globale, nonostante profitti record da parte di alcune delle più grandi aziende americane, gli affittuari potrebbero non avere molta scelta.

“Con l’espansione dell’edilizia abitativa da parte di queste società, nella maggior parte delle città c’è una crisi di alloggi a prezzi accessibili e gli inquilini non possono essere troppo esigenti quando si tratta di trovare un posto in affitto”, ha detto McElroy. “Spesso gli inquilini sono costretti a rinunciare a trovare un padrone di casa con una politica di dati meno abusiva solo perché non ci sono alternative”.

Come ha fatto una startup tecnologica a ottenere il mio indirizzo di casa? Facilmente e legalmente. E per quanto riguarda la fuga di notizie? È solo una cattiva sicurezza.

Maggiori informazioni su TechCrunch:

Source link