La responsabilità dei vostri dati tra ingenuità e malafede
14/05/2018 di David Puente
Se le “Fake News” era la parola dell’anno 2017 (nonostante siano due parole) quella del 2018 dovrebbe essere “GDPR”. Così come è accaduto per la prima, in molti sono del tutto impreparati e sommersi dalle novità del nuovo regolamento sulla protezione dei dati personali.
LEGGI ANCHE > Le vie di fuga dei profilatori: lo scraping
Coloro che si stanno impegnando per far fronte alla venuta del 25 maggio portano un grande peso sulle spalle. Nel migliore dei casi potremmo considerarli i supereroi dei nostri tempi, nel peggiore i principali capri espiatori o i veri colpevoli per non averci garantito la dovuta protezione. Sono molte le insidie e i trabocchetti che possono rendere vano il loro lavoro, ma questo dipende dal loro livello di paranoia oltre che della loro onestà professionale.
Non esistono soltanto “attacchi hacker” capaci di depredare un database e le informazioni delicate contenute in un determinato sito. Esistono altre scorciatoie, non per forza dovute all’intervento di un pirata informatico, per rubare i vostri account o accedere alle vostre email attraverso tecniche che potremmo equiparare a delle vere e proprie “intercettazioni”.
Mentre vi sentite al sicuro e accedete serenamente nel portale dove gestite qualche servizio a cui vi affidate, il gestore del sito potrebbe essere consapevole o meno di contenere al suo interno del codice javascript, attivo all’interno di un servizio terzo come un banner pubblicitario, che intercetta la vostra login salvandola all’interno di un database che potrebbe essere venduto al miglior offerente.
I vostri indirizzi email sono un bene prezioso, essere a conoscenza dei vari utilizzi che ne fate permette di tracciare la vostra navigazione ed eventualmente i vostri interessi. Un esempio lampante ce lo fornisce uno studio dell’Università di Princeton dove sono stati individuati oltre mille siti in cui un codice simile intercettava l’indirizzo email utilizzato dagli utenti per effettuare l’accesso ai loro servizi. Il tutto veniva salvato all’interno di un server situato in Francia che infine “rigirava” i dati ad una società americana che vanta di detenere informazioni appartenenti a oltre 500 milioni di persone attive in tutto il mondo, registrando un profitto di 77 milioni di dollari nell’ultimo anno e un fatturato di 1,13 miliardi. Se ci pensate, il database di Cambridge Analytica potrebbe essere definito una barzelletta a confronto.
Il problema è che i gestori dei siti individuati dallo studio dell’Università di Princeton potevano esserne all’oscuro, visto che tale codice era presente nel servizio terzo come AdThink e OnAudience. Secondo Arvind Narayanan, uno dei professori che hanno partecipato alla ricerca, i gestori dei portali sono responsabili nel non verificare quanto avviene utilizzando questi servizi terzi. Non ha tutti i torti.
Tra i siti individuati dall’Università di Princeton c’erano anche alcuni italiani, ma nel caso specifico potremmo ritenerci fortunati perché i dati salvati si sarebbero limitati alle email e non alle password. Non ci è dato sapere se i proprietari dei siti ne erano a conoscenza, mancando di informare i propri utenti della situazione, ma chi ne era all’oscuro potrebbe esserlo completamente anche in altri casi e non per forza legati ai servizi offerti da AdThink e OnAudience.
Sarebbe interessante scoprire quanti, in vista del 25 maggio, siano riusciti ad individuare altre operazioni simili denunciando i responsabili dei servizi terzi a cui si sono affidati. Bisogna vedere quanti ne sono capaci e quanti vorranno ammettere il loro mancato controllo rischiando di perdere la fiducia dei propri utenti.
Bisogna ammettere che alla fine gli utenti sono alle prese tra ingenuità o malafede, ma il lato positivo del GDPR è che forse saranno più tutelati.
David Puente, esperto informatico, ci guiderà con diverse analisi sul problema della sicurezza dei nostri dati informatici, anche in Italia. Questo è un secondo estratto del suo lavoro con Giornalettismo. Qui tutte le puntate relative a Cambridge Analytica
(Credit Image: © Patrick Lefevre/Belga via ZUMA Press)