Il caso Yandex e il pericolo dei web-tracker: l’intervista a Lorenzo Asuni di Ermes

Al netto dell’impossibilità di capire se quei pacchetti di file comparsi nel dark web siano attribuibili a un attacco hacker subìto da Yandex, abbiamo chiesto a Lorenzo Asuni (CMO di Ermes – Intelligent Web Protection) di spiegarci più nel dettaglio quali sono i rischi legati a doppio filo a quello che sembra esser stato un data breach nei confronti del colosso russo. Perché l’azienda di Mosca è proprietaria di un tool utilizzato da molte aziende all’interno dei codici sorgente dei rispettivi portali internet. E questo, in caso di violazione dei dati, apre le porte a gravissimi problemi.

LEGGI ANCHE > Cosa sta succedendo ai dati del Google russo Yandex e qual è la posizione ufficiale dell’azienda

Con Lorenzo Asuni siamo partiti proprio da quei tracker di navigazione che rappresentano uno dei principali punti di atterraggio di un eventuale attacco informatico: «In realtà Yandex, come tantissimi – chiamiamoli così – tool di terze parti, ovvero collezionatori di dati durante la navigazione, acquisisce tutta una serie di informazioni che vanno da quello con cui noi popoliamo un form di contatto o un fan di richiesta che potrebbe essere per un e-commerce o di un servizio. Oltre a questo, però, potrebbe anche monitorare il nostro comportamento di nelle pagine web. Quindi: ci fermiamo di più in una parte piuttosto che in un’altra, clicchiamo una call to action piuttosto che un’altra».

Lorenzo Asuni ci descrive il tracker di Yandex

Ed ecco che entrano in ballo quei web tracker di cui Giornalettismo ha parlato in un precedente approfondimento sempre legato a quel che è successo nelle scorse settimane al colosso russo: «Questo genere di tracker, i session replay script, sono tool di marketing che collezionano una marea di informazioni. Il discorso è che questi tool molte volte subiscono un data breach, come è successo nel caso di Yandex. In realtà è stato un breach molto più grande di quello che solitamente si fa su questi tool di terze parti e quindi i dati che sono collezionati da questo tool vengono utilizzati solitamente per fini di marketing, quindi per vendere qualcosa alle persone o per fare delle campagne customizzate, ma possono essere anche utilizzati per fini malevoli».

Ed è qui che la questione ha dei riflessi in termini di possibile violazione dei dati personali di un utente: «Tutte queste preferenze – questi dati sensibili come nome, cognome, e-mail, il fatto che sia passato per un sito piuttosto che un’altro – alla fine dei conti danno un profilo della persona. Questo profilo di una persona persona viene poi utilizzato da parte degli attaccanti, quindi dai cyber-criminali, per fare degli attacchi customizzati». Partiamo da campagne di marketing aggressive sfruttando i dati personali trapelati (e le abitudini di navigazione) fino ai casi di truffa (o tentativi di truffa) come il phishing. Dunque, si rischia di scoperchiare il più classico dei vasi di Pandora. Anche perché molte aziende (anche italiane) utilizzano il Session Replay Script (con finalità di marketing) e un’eventuale violazione – come un data breach – rischia di mettere a repentaglio chi (pur inconsciamente) è stato monitorato attraverso questo (ma anche altri) strumenti di web-tracking. Il dottor Asuni, CMO di Ermes, ci ha anche inviato una testimonianza video di come gli strumenti della sua azienda riescano a intercettare la presenza di tracker di questo tipo su portali frequentatissimi dal pubblico italiano.

Collegamenti e tracciamenti di cui un utente non può avere contezza e, per questo motivo, è sempre consigliato proteggere i propri dati di navigazione con appositi scudi. Una realtà che ci porta a considerazioni ancor più profonde che vanno anche al di là del caso Yandex: «Questi Session Replay Script possiamo paragonarli a degli occhietti che guardano il mio comportamento sul web e lo fanno passando da un sito all’altro – ha spiegato Lorenzo Asuni -. Alla fine dei conti, quest’occhio mi segue e riesce a fare un mio profilo, di quelle che sono le mie preferenze, del mio comportamento. Oltre a prendere le informazioni personali tipo nome, cognome e i dati, legandoli alle mie preferenze e al mio comportamento online. Quindi è veramente un profilo come se avessi un investigatore alle mie spalle che sa esattamente cosa piace a me, cosa faccio, come mi chiamo e dove eventualmente trovarmi».

Ma sono legali o no?

Tutte queste considerazioni portano a pensare che strumenti di questo tipo siano illegali. La realtà dei fatto, invece, racconta ben altro perché tutto ciò diventa potenzialmente pericoloso solo in caso di fuga di dati (come quella che sembra essere il data breach Yandex), visto che i web-tracker e i tool di terze parti sono soggetti a normative specifiche che non li indicano come illeciti: «Sono tool di marketing, sistemi di tracciamento, come li ha Google, ma anche Facebook e Instagram. Sono tutti sistemi di tracciamento che sono assolutamente compliant. Il discorso è che quello che fanno è anche utile per chi fa marketing, ma nel momento in cui avviene un data breach non è che siamo sicuri. Nel momento in cui subiscono un data breach quelle informazioni che erano magari collezionate per motivi di vendita, vengono poi date date alla mercé di quelli che potrebbero utilizzarle per scopi diversi e malevoli. Quindi, sono sistemi assolutamente legittimi che però, se subiscono un breach diventano un assist perfetto per chi vuol fare un attacco».