Spiati mentre navighiamo su Internet, ma entro certi limiti. O no?

Nov 27, 2017 Marco Schiaffino Gestione dati, In evidenza, Leaks, News, Privacy, RSS, Scenario, Tecnologia 0

I JavScript che studiano il comportamento dei visitatori sui siti dovrebbero evitare di raccogliere informazioni sensibili. Purtroppo, non è così.

Chi è abbastanza paranoico (e se frequentate abitualmente questo sito probabilmente lo siete) ha ben presente che ogni sua mossa sul Web viene registrata, studiata, analizzata e sputata sotto forma di statistica a uso e consumo dei gestori dei principali siti Web, che usano queste informazioni per “migliorare” i loro servizi.

Tutto questo, in teoria, dovrebbe avvenire in maniera “protetta”, facendo in modo cioè che questo sistema di raccolta di informazioni non metta a rischio in alcun modo la privacy o (ancor peggio) la sicurezza degli utenti.

Purtroppo non è proprio così. A spiegarlo è una ricerca condotta dalla Princeton University che mette in evidenza qualche piccola falla nel sistema.

Partiamo dall’inizio: questo gigantesco sistema di sorveglianza sfrutta una serie di JavaScript che registrano tutto quello che facciamo: dai dati inseriti ai movimenti del mouse e clic sulla pagina.

Nella loro ricerca, gli analisti della Princeton University si sono limitati ad analizzare il comportamento dei 7 più importanti soggetti che si occupano di raccogliere le informazioni di cui sopra. Stiamo parlando di un pugno di società (Yandex; FullStory; Hotjar; UserReplay; Smartlook; Clicktale e SessionCam) che raccolgono dati su almeno 482 siti collocati nella classifica dei 50.000 siti Internet più popolari.

Tra i siti sotto controllo (non necessariamente da parte delle società citate) ci sono Microsoft; Lenovo; HP; Adobe; Intel; Norton; Kaspersky; Spotify e altri siti di primo piano nel panorama Web.

Qual è il problema? È che i dati registrati dovrebbero essere “anonimi”, cioè non poter essere associati all’identità di chi è stato “analizzato” durante la navigazione, e non dovrebbero contenere dati sensibili. Il problema è che le cose non vanno esattamente così.

Nonostante siano previsti sistemi di modifica dei dati (sia automatici che manuali) che dovrebbero cancellare le informazioni sensibili, i ricercatori della Princeton University hanno individuato una raffica di “buchi” nel sistema. In pratica i report contengono una valanga di informazioni personali che non dovrebbero contenere.

Cominciamo dalle password. In teoria nessuno di questi sistemi dovrebbe registrarle. Ma nella realtà le caselle di testo utilizzate per i login su mobile registrano regolarmente le password inserite dagli utenti. Lo stesso però vale anche per il nome degli utenti, il loro indirizzo e persino i dati della carta di credito.

Tra i dati inviati (in chiaro) ci sono tutte le informazioni sulla carta di credito dell’utente: numero, scadenza, CVV e indirizzo di fatturazione. Non male…

Insomma: al di là del fatto che sarebbe carino evitare di inviare informazioni di questo tipo a soggetti terzi come le società che gestiscono la raccolta di questi dati, sembra che nessuno si sia posto il problema del rischio che pone tutto questo in termini di sicurezza. Chiunque riuscisse a intercettare i dati potrebbe fare quello che gli pare sfruttando le informazioni per portare a termine truffe o qualsiasi altra cosa gli saltasse in mente.

Ma com’è possibile che nessuno ci abbia pensato? In molti casi l’assenza di strumenti che cancellino e informazioni sensibili è dovuta a semplici errori nell’implementazione degli strumenti di analisi, in altri dal fatto che informazioni che vengono cancellate possono essere comunque ricavate da altri dati forniti in precedenza.

Il risultato, in definitiva, è una clamorosa violazione della privacy dovuta per lo più a sciatteria e incapacità di gestire in maniera corretta le procedure.