La nuova analisi del Business Digital Index (BDI) lancia un allarme sulla sicurezza delle piattaforme di incontri online. Su 24 tra le app di dating più diffuse a livello globale, tre quarti hanno ottenuto una valutazione di D o F per la propria postura di sicurezza digitale. Nessuna ha raggiunto il livello “A”.
Il dato preoccupa perché i servizi di dating custodiscono alcune delle informazioni più sensibili in assoluto: orientamento sessuale, preferenze intime, dati di pagamento e conversazioni private. Come dimostrano casi celebri come Ashley Madison e AdultFriendFinder, una violazione può avere impatti devastanti non solo a livello economico, ma anche umano.
I migliori e i peggiori
Dallo studio emergono pochi esempi virtuosi: solo Bumble (93 punti, grado B) ed EliteSingles (92, grado B) si collocano in fascia alta. Nella categoria intermedia si trovano servizi noti come HER, Lex e SilverSingles (grado C).
La maggioranza, invece, è ferma su valutazioni deludenti: Tinder, OkCupid, Grindr e Ashley Madison hanno riportato un grado D, mentre cinque piattaforme sono finite nel gruppo peggiore, con una F: Coffee Meets Bagel, Christian Mingle, Match, Zoosk e AdultFriendFinder.
Debolezze tecniche diffuse
L’analisi di BDI si concentra su vulnerabilità note e già sfruttate in attacchi passati. Tra le criticità più diffuse:
- Email security carente: mancano sistemi di autenticazione fondamentali come DMARC, SPF e DKIM, aprendo la strada a phishing e impersonificazione del brand.
- Software non aggiornati: AdultFriendFinder mostra oltre cento vulnerabilità irrisolte, un rischio analogo a quello che portò al maxi-breach di Equifax nel 2017.
- Problemi di trasporto dati e TLS: piattaforme come Zoosk, Badoo, Match e Ashley Madison presentano configurazioni critiche che potrebbero consentire l’intercettazione di traffico sensibile.
- Web application non sicure: undici servizi, tra cui Grindr, Bumble e Ourtime, evidenziano segnali di configurazioni deboli esposte a exploit.
Credenziali sul dark web e password riciclate
Il report segnala che il 76% delle piattaforme analizzate ha credenziali collegate a propri domini apparse sul dark web nell’ultimo mese. Inoltre, il 56% delle aziende coinvolte ricicla le stesse password in più contesti, ampliando la superficie d’attacco.
Conseguenze reali: dalle violazioni ai drammi personali
La memoria collettiva resta segnata dal caso Ashley Madison (2015), che dopo il leak di 30 milioni di utenti ha visto emergere casi di estorsione, divorzi e suicidi. In quell’occasione, il traffico della piattaforma crollò fino al 90% nei mesi successivi.
Altri episodi hanno confermato l’impatto sociale dei data breach: nel 2019 Coffee Meets Bagel subì il furto di 6 milioni di profili, mentre nel 2020 un attacco a Zoosk portò alla vendita di 24 milioni di record sensibili.
Minacce emergenti: il catfishing con l’AI
La nuova frontiera è l’uso di chatbot e deepfake per creare profili falsi. L’FBI ha calcolato in 672 milioni di dollari le perdite legate alle truffe romantiche nel 2024, con il ruolo della generative AI in forte crescita. Le vittime vengono manipolate con foto, video e persino chiamate live convincenti, difficili da distinguere da persone reali.
Normative e regolamentazioni
La cornice legale aumenta la pressione sui provider:
- Il GDPR classifica l’orientamento sessuale come dato “particolare” da proteggere con i più alti standard.
- La California Privacy Rights Act (CPRA) lo considera “informazione sensibile”.
- Negli USA, la FTC ha multato il gruppo Match per 14 milioni di dollari per pratiche commerciali ingannevoli.
Consigli pratici per gli utenti
Gli esperti raccomandano di:
- Usare email dedicate per i servizi di dating.
- Creare password uniche e non riutilizzarle.
- Limitare la condivisione di posizione e foto riconducibili all’identità reale.
- Evitare il login con account social e non collegare i profili personali.
