A volte, il minimo dettaglio può portare alle più profonde violazioni della privacy. Ad esempio, lo status “ultimo accesso” e “online” sul profilo WhatsApp può essere usato per ricavare diverse informazioni sulla propria vita privata, come osservato dall’ingegnere informatico Rob Heaton.
Come sottolinea Heaton, l’impiego di una semplice estensione browser in grado di tenere traccia dei cambiamenti nello stato di WhatsApp – se costantemente monitorata per un lungo periodo di tempo – può indicare potenzialmente quando si va a dormire e quando ci si sveglia, e forse perfino con chi si parla.
Mentre WhatsApp offre un’opzione per definire più precisamente chi può vedere il proprio status, Heaton suggerisce di utilizzare una violazione apparentemente piccola della privacy per creare un registro delle attività sulla nota chat: se un malintenzionato utilizza WhatsApp Web, può facilmente creare un’estensione del browser Google Chrome. Con sole quattro righe di codice JavaScript è possibile raccogliere grandi quantità di dati sulla propria attività e, quindi, essere in grado di analizzarla in seguito per avere un’idea di quando si dorme e a che ora ci si sveglia in un particolare giorno della settimana.
Per un set ancora più potente di abilità di stalking, è possibile modificare l’estensione per registrare l’attività di più utenti, la quale sarebbe quindi in grado di correlare l’attività di due utenti durante un determinato periodo di tempo come indicazione del fatto che stanno parlando tra loro, dando agli hacker l’opportunità di capire con chi si parla, con quale frequenza e per quanto tempo. Heaton include un disegno rudimentale per fornire una rappresentazione grafica di come un tale schema avrebbe funzionato, mostrato di seguito:
Oltre alle attività illecite degli stalker, Heaton afferma che un tale schema potrebbe essere utilizzato anche per raccogliere dati su larga scala e venduti alle aziende sanitarie, che possono essere molto interessate alle abitudini del sonno delle persone.
Naturalmente, questo particolare exploit non è una vulnerabilità intesa come una falla nel software, dato che non richiede l’hacking nei server di un’azienda o una conoscenza avanzata della codifica, ma è un buon esempio per la necessità di controlli molto più severi sulla privacy dei social media e delle applicazioni di messaggistica.