Una massa enorme di dati personali appartenenti a celebrità e figure pubbliche è finita in rete a causa di una falla in un software di sorveglianza nascosta. Ed è uno di quegli episodi che fa venire i brividi, perché mette a nudo quanto sia fragile e pericoloso il mondo dello stalkerware. Per chi non avesse familiarità con il termine, si parla di applicazioni pensate per spiare un dispositivo senza che chi lo usa ne sappia nulla. Strumenti spesso legati a dinamiche domestiche o relazionali, ma che in questo caso hanno colpito anche personaggi ad alta visibilità del mondo dello spettacolo e dei social media.
Il fenomeno non è esattamente una novità. Già dal 2020 diverse analisi avevano messo in luce falle ricorrenti nei sistemi di backend di questi servizi, con database esposti o configurati male. Ma stavolta la portata della violazione ha un peso diverso, perché coinvolge direttamente account su piattaforme come WhatsApp, Instagram, Facebook e TikTok. Lo stalkerware, una volta installato sul dispositivo della vittima, era in grado di aggirare la crittografia end to end di queste piattaforme catturando direttamente gli screenshot dallo schermo. In pratica, le protezioni native delle app diventavano del tutto inutili.
Come funziona lo stalkerware e perché rappresenta una minaccia seria
Le applicazioni di stalkerware vengono installate fisicamente sul telefono oppure sfruttando un accesso non autorizzato agli account. Una volta attive, raccolgono di tutto: messaggi, posizione GPS, registrazioni audio, cronologia web, contenuti multimediali. Ma il problema non è solo l’uso improprio di questi strumenti. Quello che rende la situazione davvero grave è la scarsa qualità dello sviluppo di queste app. Molte non implementano nemmeno i meccanismi base di sicurezza, come autenticazione robusta o cifratura dei dati, e quindi le informazioni raccolte restano esposte a chiunque sappia dove cercare.
Nel caso specifico, un ricercatore di sicurezza ha individuato un database completamente non protetto, pieno di dati aggregati provenienti da diverse applicazioni di monitoraggio. Al suo interno: indirizzi email, messaggi privati, registri delle chiamate e coordinate geografiche. Il coinvolgimento di personaggi noti aggiunge un livello di rischio ulteriore, perché aumenta enormemente il valore di quelle informazioni per attori malevoli.
Le debolezze strutturali e come difendersi dallo stalkerware
Dal punto di vista tecnico, molte applicazioni di stalkerware condividono gli stessi problemi: assenza di crittografia end to end, gestione inadeguata delle sessioni e infrastrutture backend poco sicure. A differenza delle app più note, questi strumenti operano quasi sempre fuori dagli store ufficiali, sfuggendo ai controlli più rigorosi. E la mancanza di audit indipendenti peggiora ulteriormente il quadro.
Sul piano legale, in molti Paesi l’uso di stalkerware senza consenso viola le normative sulla privacy e sulla protezione dei dati. Il problema è che far rispettare queste leggi diventa complicato quando i server sono distribuiti su più giurisdizioni. Alcuni operatori della sicurezza hanno comunque iniziato a classificare queste applicazioni come minacce vere e proprie, integrandone il rilevamento nei software antivirus. Nel frattempo, iniziative internazionali puntano a sensibilizzare sia gli utenti sia gli sviluppatori sui rischi associati.
Per chi vuole proteggersi, le misure fondamentali restano sempre le stesse: aggiornare regolarmente il sistema operativo, controllare le app installate, verificare i permessi concessi. Limitare l’accesso fisico al dispositivo, attivare l’autenticazione a più fattori e tenere d’occhio le attività sospette sugli account riduce in modo significativo la superficie di attacco. Se qualcosa non torna, la strada migliore è un’analisi approfondita del dispositivo oppure, nei casi più seri, un ripristino completo.
L’esposizione dei dati delle celebrità rappresenta solo la punta di un problema che coinvolge milioni di utenti in tutto il mondo.