Sytuacja ta budzi szczególne zaniepokojenie, ponieważ platforma ta była promowana jako bezpieczne narzędzie stawiające ochronę tożsamości na pierwszym miejscu. W obliczu nowych dowodów dostarczonych przez badaczy, deklaracje twórców dotyczące pełnej dyskrecji stają pod dużym znakiem zapytania.
Analiza ruchu sieciowego zrealizowana przez Shoshanę Wodinsky, badaczkę ds. bezpieczeństwa w organizacji Mozilla, przyniosła niepokojące wnioski. Wykazała ona, że aplikacja Stardust przesyła wrażliwe dane dotyczące zdrowia swoich użytkowniczek do zewnętrznej firmy analitycznej o nazwie RudderStack. Wśród ujawnionych informacji znalazły się niezwykle prywatne szczegóły: data urodzenia, rodzaj stosowanej antykoncepcji, cele reprodukcyjne oraz konkretne objawy zapisywane przez kobiety w programie. Informacje te nie są przesyłane pod rzeczywistym imieniem i nazwiskiem, lecz powiązano je z unikalnym identyfikatorem przypisanym do konkretnego urządzenia.
Taki sposób zarządzania bazami danych spotkał się z krytyką ze strony ekspertów zajmujących się cyberbezpieczeństwem. Federalna Komisja Handlu (FTC) od dłuższego czasu regularnie ostrzega przed podobnymi praktykami, wskazując na jasny fakt: unikalne identyfikatory nie czynią danych w pełni anonimowymi. Informacje te wciąż mogą zostać powiązane z konkretną osobą i posłużyć do jej identyfikacji, co obala narrację o pełnej anonimizacji. Cały proces zachodzi w tle, przez co pozostaje całkowicie niewidoczny dla przeciętnego użytkownika korzystającego z interfejsu aplikacji.
W ramach swojego projektu Shoshana Wodinsky postanowiła sprawdzić łącznie sześć popularnych aplikacji służących do śledzenia cyklu menstruacyjnego. Wyniki okazały się jednoznaczne: Stardust był jedynym testowanym programem, który dopuścił się praktyki przekazywania tak wrażliwych danych o zdrowiu reprodukcyjnym zewnętrznej firmie. Inne analizowane systemy wypadły w testach znacznie lepiej, a jeden z nich określono nawet jako nieskazitelnie czysty pod kątem ochrony prywatności. Jako bezpieczną i godną polecenia alternatywę badacze wskazali aplikację Euki, której kluczowe funkcje nie zakładają dzielenia się informacjami, a wszelkie dane medyczne są przechowywane wyłącznie lokalnie na urządzeniu użytkownika.
To nie pierwszy raz, kiedy Stardust trafia pod lupę dziennikarzy technologicznych i specjalistów od bezpieczeństwa IT. Serwis TechCrunch prowadził dochodzenie w sprawie tej aplikacji już w 2022 roku. W tamtym okresie platforma zanotowała ogromny, gwałtowny wzrost liczby pobrań, co było bezpośrednio powiązane z decyzją Sądu Niemożliwego Stanów Zjednoczonych, który zniósł konstytucyjne prawo do aborcji. Kobiety w USA zaczęły masowo szukać narzędzi gwarantujących pełną dyskrecję w obawie przed potencjalną inwigilacją. Stardust idealnie wpisał się w te nastroje, budując swój marketing wokół obietnic stworzenia bezpiecznej przestrzeni.
W 2022 roku przedstawiciele startupu oficjalnie deklarowali, że ich oprogramowanie wykorzystuje zaawansowane szyfrowanie typu end-to-end. Zgodnie z tymi zapewnieniami dane miały być zabezpieczone w taki sposób, że nawet sama firma Stardust nie miała posiadać technicznych możliwości, by uzyskać do nich wgląd. Weryfikacja przeprowadzona wówczas przez TechCrunch poprzez szczegółową analizę ruchu sieciowego wykazała jednak całkowitą nieprawdę: oficjalne obietnice marketingowe w najmniejszym stopniu nie pokrywały się z rzeczywistym zachowaniem aplikacji i jej faktyczną architekturą przesyłania pakietów danych.
Fakt przesyłania i przechowywania danych na zewnętrznych serwerach generuje ogromne ryzyko, wykraczające poza samą utratę prywatności na rzecz firm marketingowych czy analitycznych. Zarówno Stardust, jak i współpracująca z nim firma RudderStack, to przedsiębiorstwa zarejestrowane i działające na terenie Stanów Zjednoczonych. Oznacza to bezpośrednią zależność od tamtejszego systemu prawnego: obie te firmy bezwzględnie podlegają przepisom, które nakazują ihnen wydanie zgromadzonych informacji na oficjalne żądanie organów ścigania lub agencji rządowych posiadających odpowiednie nakazy prawne.
Przedstawiciele Stardust w oświadczeniu dla BBC News tłumaczyli, że partner analityczny ma umowny zakaz odsprzedaży tych danych lub wykorzystywania ich do własnych celów. Nie eliminuje to jednak wspomnianego ryzyka prawnego związanego z amerykańską jurysdykcją.
Dziennikarze podjęli próbę uzyskania szerszych wyjaśnień w sprawie najnowszych rewelacji ujawnionych przez projekt Fundacji Mozilla. Założycielka Stardust, Rachel Moranis, nie odpowiedziała na przesłane pytania dotyczące wyników testów ruchu sieciowego ani ewentualnych wniosków od służb o wydanie baz danych. Z kolei rzecznik prasowy przedsiębiorstwa co prawda potwierdził otrzymanie wiadomości e-mail z pytaniami, lecz ostatecznie odmówił udzielenia jakiegokolwiek komentarza w tej sprawie. Najnowszy raport dobitnie pokazuje, że zapewnień startupów technologicznych o absolutnym bezpieczeństwie nigdy nie należy przyjmować na wiarę bez niezależnej weryfikacji.
Źródło: TechCrunch