Fiscal General James Anuncia Acuerdo Con Aplicación De Citas Por No Proteger Las Fotos Desnudas De Los Usuarios

La Aplicación Prometió a los Usuarios que sus Fotos Desnudas se Mantendrían Privadas, Aunque la Compañía Sabía Que Estas Podrían Ser Expuestas

Online Buddies Inc. Tendrá Que Pagar $240,000 y Realizar Cambios Sustanciales Para Mejorar la Seguridad

NUEVA YORK – La Fiscal General Estatal, Letitia James, anunció hoy un acuerdo con la firma Online Buddies, Inc. (Online Buddies), por no proteger las fotos privadas de los usuarios de su aplicación de citas “Jack’d”, y las imágenes desnudas de casi 1.900 usuarios miembros de la comunidad gay, bisexual, y transgénero, (LGBT, por sus siglas en inglés). Aunque la compañía prometió a los usuarios que seguiría ciertas medidas de seguridad para salvaguardar la información de los usuarios, y que algunas fotos serían consideradas "privadas", la compañía no implementó las protecciones debidas para mantener esas fotos privadas, y no abordó las vulnerabilidades de seguridad, ignorando el tema por un año a pesar de haber sido alertado sobre el problema.

“Esta aplicación puso la información personal y fotos privadas de sus usuarios en riesgo de ser expuestas, y la compañía no hizo nada para solucionar esta falla, por un año, con el fin de seguir obteniendo beneficios financieros”, indicó la Fiscal General James. “Esto fue una invasión a la privacidad de miles de neoyorquinos. Hoy en día, millones de personas en todo el país —de diferentes géneros, razas, religiones y orientación sexual— se conocen, hablan, y coordinan citas por internet todos los días. Mi oficina utilizará todas las herramientas que tenemos para proteger su privacidad".

Jack’d tiene aproximadamente 7.000 usuarios activos en Nueva York, y dice tener cientos de miles de miembros en todo el mundo. Esta compañía se comercializa como una herramienta para ayudar a hombres, en la comunidad LGBTQIA+ a conocer y formar amistades, citas, y contactos, y a establecer relaciones íntimas.

La interfaz de la aplicación Jack’d ha representado explícita e implícitamente que la herramienta de fotos privadas puede ser usada para intercambiar imágenes desnudas de forma segura y, más importante aún, de forma privada. Al subir las fotos a esta aplicación, los usuarios tienen acceso a dos opciones: una, de catalogar sus fotos como “públicas”, y la otra para fotos consideradas “privadas”.

La aplicación Jack'd ofrece a los usuarios la opción de publicar...
La aplicación Jack'd ofrece a los usuarios la opción de publicar fotos en una página pública que es visible para todos los usuarios, o una página privada que no es visible para quienes los usuarios no han abierto sus cuentas.

La pantalla de fotos públicas tiene un mensaje que dice texutalmente: "[T]ómese una auto-foto o ‘selfie’. Recuerde, no se permiten fotos desnudas. Sin embargo, cuando el usuario pasa a la pantalla de fotos privadas, el mensaje sobre la prohibición de fotos desnudas desaparece, y el nuevo mensaje se centra en la capacidad del usuario de limitar quién puede ver las imágenes privadas indicando específicamente: "Sólo usted puede ver las imágenes privadas, nadie más las puede ver a menos que las desbloquee para otras personas."

La aplicación Jack'd contiene ajustes para desbloquear y volver a bloquear
La aplicación Jack'd contiene ajustes para desbloquear y volver a bloquear imágenes privadas, lo que indica que los usuarios tienen el control total de quién puede y no puede ver fotos privadas. Además, la publicidad de Online Buddies, incluyendo los vídeos en el canal oficial en YouTube de la compañía, se declara explícitamente que la aplicación ha ayudado a algunos usuarios a intercambiar información íntima de forma privada.

Online Buddies perdió la confianza de sus clientes al viola las normas de privacidad de los usuarios de la aplicación, las cuales afirman que la compañía sigue “métodos de seguridad razonables para proteger la información personal y evitar... acceso no autorizado [o] divulgación."  Este acuerdo fue crucialmente importante con los usuarios de Jack'd desde que, según las encuestas realizadas entre sus clientes en 2017, mostraran que a ellos les preocupaba más la privacidad, debido al aumento en los casos de acoso e intimidación y por los crímenes de odio contra la comunidad LGBTQIA+ desde las elecciones presidenciales de 2016, en EEUU.

La privacidad y la seguridad han demostrado ser súper importantes para los usuarios de las comunidades afroamericana, asiática y latina debido al alto riesgo de actos homofóbicos y de discriminación. Según un estudio realizado a nivel nacional, en junio de 2018, por la Universidad de Chicago: el 27% de la población blanca reportó “muchos actos de discriminación y homofobia” perpetrados por miembros de su propia raza; mientras que, en la comunidad afroamericana, el 43% reportó estos tipos de casos. Entre los asiáticos, el 53% reportó crímenes de odio contra la comunidad gay; y entre los latinos, el 61% dice haber experimentado discriminación anti-gay, por personas de su mismo grupo racial. Para este estudio, se entrevistaron a más de 1.750 jóvenes y adultos, de entre 18 y 34 años de edad. Cerca del 80% de los usuarios de Jack’d son personas de color, y han tenido razones para temer a actos de discriminación por la exposición de sus datos personales, o fotografías privadas.

La investigación realizada por la Oficina de la Fiscal General del Estado de Nueva York confirmó que la empresa Online Buddies no protegió los datos, incluyendo las fotos privadas de los usuarios, las cuales mantuvo almacenadas usando el “Servicio de Almacenamiento Simple (S3) de Amazon Web Services. En esta pesquisa también se descubrió que, en febrero de 2018, a los administradores de Online Buddies se les informó de esta vulnerabilidad, y de otra falla causada por la falta de seguridad en la interfaz del programador back-end de la aplicación, que se encuentra en la parte del servidor y que se encarga de la manipulación de datos.

Estas vulnerabilidades podrían haber expuesto cierta información personal de los usuarios de Jack'd, como su ubicación, el ID y tipo de dispositivo, la versión del sistema operativo, la última fecha de ingreso en la aplicación, y hasta el robo de contraseñas. La combinación de estas vulnerabilidades creó un alto riesgo de acceso no autorizado a las fotos privadas de un usuario (incluyendo imágenes desnudas de estos), a fotos públicas (algunas mostrando la cara del usuario) y a información personal de esta persona (incluyendo su ubicación, el tipo y el ID del dispositivo, y la última vez que esta persona había ingresado a la aplicación).

Aunque la firma Online Buddies reconoció, inmediatamente, la gravedad de sus vulnerabilidades, la compañía no solucionó estos problemas durante todo un año. Lo hizo, tras las constantes consultas de medios de comunicación. Durante el periodo que Online Buddies no arregló esas fallas, a pesar de estar al tanto de estas, la compañía tampoco implementó ningún método de protección temporal, ni estableció un sistema de acceso para detectar el ingreso no autorizado a una cuenta. Online Buddies, tampoco advirtió a los usuarios de Jack’d de estas vulnerabilidades, ni realizó cambios a las medidas de seguridad, con el fin de salvaguardar la privacidad de sus fotos privadas y la seguridad de sus datos personales.

Entre febrero de 2018 y febrero de 2019, Jack’d tenía casi 6.962 usuarios activos en el Estado de Nueva York, de los cuales 3.822 tenían una o más fotos privadas. Debido a la sensibilidad de las fotos privadas, los investigadores de la Oficina de la Fiscal General de NY no revisaron ciertas imágenes, y por ende—no lograron determinar exactamente cuántas de esas fotos, eran de usuarios desnudos. Sin embargo, después de conversar con algunos miembros y personas familiarizadas con Jack'd y otras aplicaciones similares, los investigadores concluyeron que cerca de la mitad de estos —o aproximadamente 1.900 usuarios de Jack'd en Nueva York— tenían imágenes privadas que posiblemente eran fotografías desnudas.

Como parte del acuerdo con la Oficina de la Fiscal General de Nueva York, Jack’d pagará $240,000 a este estado, e implementará un programa íntegro de seguridad con el fin de proteger la información de los usuarios, y garantizar el arreglo rápido de cualquier vulnerabilidad futura.

El caso, abierto en febrero de 2018, fue procesado por el Sub Fiscal General Noah Stein, del Buró de Internet y Tecnología; bajo la supervisión de la Jefa del Buró, Kim A. Berger; y el Sub-Jefe de esa división, Clark Russell. El Buró de Internet y Tecnología es dirigido por el Sub-Fiscal General Ejecutivo, de Justicia Económica, Christopher D’Angelo.