Adevărul sumbru despre siguranța aplicațiilor de sănătate mintală: vulnerabilități grave în chiar buzunarul nostru
Într-o lume în care tehnologia a devenit parte integrantă a procesului de îngrijire a sănătății mentale, încrederea utilizatorilor în aceste aplicații a fost alimentată de promisiuni de confidențialitate și securitate. Însă, ultimele descoperiri ale experților în domeniu ar putea zdruncina această încredere, arătând că multora dintre cele mai populare platforme de terapie digitală le lipsește chiar și elementarul în materie de protecție a datelor sensibile.
Secretele expuse de un raport detaliat indică o serioasă problemă de securitate: peste 54 de vulnerabilități grave, dar și aproape 1.500 de riscuri de nivel mediu și scăzut, toate identificate în doar câteva zile de audit tehnic. Chiar dacă nu au fost găsite breșe critice care să permită intruziuni masive, magnitudinea vulnerabilităților descoperite reflectă o îngrijorătoare neglijență a dezvoltatorilor în domeniu. Cât de sigură poate fi, atunci, o aplicație care promite sprijin pentru sănătatea mentală, când orice breșă poate expune informații intime, chiar și în cele mai mici detalii?
Un exemplu concret menționat în raport este utilizarea necorespunzătoare a funcției Intent.parseUri() într-o aplicație de terapie cu peste un milion de descărcări. Potrivit experților, această vulnerabilitate permitea procesarea de comenzi externe fără validare, ceea ce putea duce la deschiderea accidentală sau intenționată a zonelor interne ale aplicației și, implicit, expunerea unor informații sensibile, precum tokenuri și date de sesiune. În situația în care un atacator exploata acest defect, riscul de acces neautorizat la datele personale ale utilizatorilor devine foarte real.
Îngrijorător este și faptul că multe dintre aceste aplicații salvează date atât local, cât și în cloud, uneori într-un mod care permite oricui are acces la telefon să citească aceste informații. Pot fi vorba de jurnalul personal, notițe din ședințe terapeutice sau rezultate ale evaluărilor, toate pot deveni victimele unor accesări neautorizate dacă, de exemplu, stocarea nu este securizată adecvat. Pe lângă aceste criptare precară, cercetătorii au constatat că unele aplicații folosesc metoda java.util.Random, considerată nesigură pentru generarea tokenurilor de sesiune sau a cheilor de criptare, sporind vulnerabilitatea întregului sistem.
Valoarea acestor informații devine, astfel, extrem de mare pe piața neagră. Sergey Toshin, fondatorul organizației Oversecured, atrage atenția că datele despre sănătatea mentală sunt printre cele mai sensibile și, în mod surprinzător, pot fi vândute cu până la 1.000 de dolari per profil pe piața neagră. Într-o lume în care atacurile cibernetice devin tot mai sofisticate, aceste date pot fi folosite pentru șantaj, fraudă sau chiar manipulare psihologică, iar impactul asupra victimelor poate fi devastator, afectând chiar vieți și relații.
În plus, mai multe dintre aceste aplicații sunt deja depășite din punct de vedere tehnic, iar majoritatea nu au primit actualizări relevante recent. Procedurile de mentenanță par să fie lente și insuficiente pentru un domeniu atât de sensibil. Lavabilitatea faptului că, uneori, ultimele actualizări datează din septembrie 2024 sau chiar mai devreme, accentuează riscurile. Experții nu pot confirma dacă vulnerabilitățile au fost remediată între timp, iar decizia de a ține aceste informații în siguranță pentru public a fost uneori evitabilă, din motive etice. În cele mai multe cazuri, însă, simpla menținere a aplicațiilor actualizate nu garantează lipsa de probleme, dat fiind numărul mare de vulnerabilități medii și scăzute identificate.
Aceasta arată clar că, în domeniul sănătății mentale digitale, severitatea problemelor nu poate fi subestimată. Aplicarea unor măsuri de securitate solide, precum actualizări regulate, criptare avansată și politici stricte de confidențialitate, trebuie să devină norme obligatorii, nu excepții. În aceste condiții, utilizatorii trebuie să rămână vigilenți: să nu partajeze informații excesive și să aleagă cu atenție platformele pe care le folosesc pentru a-și gestiona sănătatea emoțională.
Domeniul aplicațiilor de sănătate mintală, în ciuda promisiunilor, pare încă departe de a asigura protecția integrală a datelor personale. Și, dacă ultima actualizare nu a fost făcută de mult timp, riscurile pot deveni ireversibile. Într-un univers digital în care confidențialitatea trebuie să fie sacrosanctă, securitatea tehnică nu mai poate rămâne un aspect secundar. Înțelepciunea ar fi ca, pe măsură ce tehnologia evoluează, și normele de protecție a datelor să fie adaptate și aplicate cu strictețe, pentru a evita ca zonele intime ale sufletului să devină pradă unor atacuri fără precedent.
