Facciamo chiarezza dopo la ricerca del Center for Information Technology Policy di Princeton che segnala come nel sito di riferimento del M5S ci siano script esterni per raccogliere dati personali e "rigirarli" a broker di dati all'estero
PUBBLICITÀSecondo uno studio pubblicato dall’università di Princeton, il blog di Beppe Grillo è fra i 1.110 siti al mondo che "abusano di una tecnica per estrarre indirizzi email" degli utenti allo scopo di costruire profili di "tracciamento".
Avete presente quando, navigando su Internet, dite al browser di memorizzare email e password per non doverli più digitare più avanti, magari sullo stesso sito? Ebbene, sfruttando un bug di questi sistemi di gestione automatica delle password, Beppegrillo.it si avvarrebbe di uno script esterno in grado di memorizzare e tracciare le mail dei visitatori del sito capace poi di inviare tutte queste informazioni ad una società specializzata nel gestire e rivendere dati degli utenti, con sede negli States.
La lista, pubblicata dal Center for Information Technology Policy, vede il portale di riferimento del Movimento Cinque Stelle all'ottavo posto tra quelli che "abusano dei login manager per operazioni di tracciamento".
Il gruppo di ricerca americano ha analizzato un campione di siti tra quelli in cima al ranking Alexa, passando al vaglio l'home page e almeno cinque altre pagine interne per ciascuno dei 50mila siti presi in considerazione. Tra essi, come detto, anche beppegrillo.it ma anche wikio.it, lalaziosiamonoi.it e workout-italia.it.
Cosa vuol dire, detto in termini semplici
Praticamente tramite un codice (javascript), un servizio esterno può recuperare l'indirizzo email digitato in precedenza da un utente sul sito beppegrillo.it e inviare un'impronta di questo indirizzo email ai server di Adthink - società con sede in Francia proprietaria dello script.
Questa, a sua volta, "rigira" l'impronta dell'email a un data broker chiamato Acxiom, negli Stati Uniti.
Tutto questo avviene senza che gli utenti ne sappiano nulla, sottolinea Vice.
Acxiom è stato definito dal New York Times "il gigante tranquillo di un'industria multimiliardaria nota come database marketing". I suoi server processano più di 50 trilioni di transazioni dati ogni anno, con informazioni su 500 milioni di consumatori in giro per il mondo.
Lo script Adthink inviato a Acxiom contiene categorie definite "socio-demografiche" molto dettagliate come: tratti somatici, dati personali, finanziari, fisici e interessi. E' difficile stabilire l'esatto uso di queste categorie e come venga utilizzata l'informazione da Adthink e Acxiom.
Perché farlo?
Scrive *Freedom to Tinker *che "gli indirizzi email sono univoci e persistenti, e quindi l'impronta di un indirizzo email è un ottimo identificatore di tracciamento: gli utenti cambiano raramente indirizzo email. Con questo sistema, la cancellazione dei cookie, l'uso della modalità di navigazione privata o il cambio di dispositivo di navigazione non impedisce di continuare il tracciamento".
Così facendo, quindi, si possono "collegare i pezzi di un profilo online sparsi in diversi browser, dispositivi e applicazioni mobili".
Il fine di questa operazione è "capire quando un utente ritorna sul sito anche se l'utente ha cancellato la storia della sua navigazione o i cookie dal browser. Normalmente per il sito saremmo un nuovo utente ma, grazie a questo sistema, esso capisce che siamo tornati e siamo ancora noi: l'indirizzo di posta elettronica viene conservato tendenzialmente su più sessioni del browser o su più browser", spiega Paolo Dal Checco, consulente informatico forense.
**Attenzione. **Tutta questo non riguarda chi non è già registrato a beppegrillo.it. Non si parla qui di recuperare "nuovi" indirizzi email al di fuori di quelli già presenti, in qualche modo, sul portale M5S.
Le password non c'entrano. Ma...
Non c'è traccia di eventuali furti di password tra i 50mila siti analizzati dal Center for Information Technology Policy. Ad essere estratti sono stati gli indirizzi email. Gli script però hanno la possibilità di rubare le password attraverso una vulnerabilità dei login manager conosciuta come XSS.
"La password non viene acquisita per quanto possa essere letta", commenta Dal Checco.
"I third-party usati qui sono particolarmente aggressivi", aggiunge Fabio Pietrosanti, fondatore e presidente di Hermes, centro per la trasparenza in tema di diritti digitali. "Che essi siano sul blog di Grillo denota il fatto che la Casaleggio Associati sia piuttosto aggressiva in tema di profilazione".
È un problema per la nostra privacy?
Le attività commerciali Acxiom sono perfettamente legali ma nel settore non esiste trasparenza su come vengono utilizzati e venduti i dati personali degli utenti.
PUBBLICITÀQuanto al sito beppegrillo.it, "è legale fin tanto che ciò che viene acquisito non violi la nostra privacy", aggiunge Dal Checco. "Non è così pericoloso per quanto possa essere una cosa fastidiosa, certamente. Da oltre 10 anni la cosa è nota e funziona in questa maniera. Se fosse una violazione di privacy, qualcuno avrebbe già preso provvedimenti".
Questi dati vengono ceduti a un servizio esterno che li raccoglie, cataloga e può utilizzarli per incrociarli insieme ad altri dati acquisiti.
Da questo punto di vista, "il rischio è che questi siti facciano attività di profilazione e marketing al di là di quanto l'utente si aspettava. Se vado sul sito a commentare una notizia, non mi aspetto che da quel momento in poi sarò inserito in un elenco che traccia gusti e preferenze gestito da un terzo, da un sito esterno" che aderisce ad un circuito di tracciatura.
Una pratica intenzionale?
Dalla Casaleggio e Associati potrebbero non essere al corrente della cosa o persino essere stati inseriti per sbaglio nell'elenco, sostiene Dal Checco. Non si può dire che tutti i siti elencati nella rierca siano consapevoli di questo sistema. Questi script inoltre possono non essere presenti in tutte le pagine, possono non essere visibili in alcune circostanze a chi li analizza, essere stati rimossi o modificati rispetto a quelli inizialmente utilizzati dai gestori.
"L'attività che ci attribuisce per il Blog di Beppe Grillo non è qualcosa che pratichiamo. Avremmo bisogno di maggiori informazioni da parte sua per poterlo smentire nel merito, perchè non ci risulta", **rispondono via email dalla Casaleggio Associati. **Acxiom e AdThink non hanno ancora risposto alla richiesta di commento da parte di euronews.
PUBBLICITÀ"La scelta di utilizzare AudienceInsight", il prodotto di AdThink, "è sicuramente della Casaleggio Associati, senza pensarci su due volte. Non c'è nulla di illegale, è come se si trattasse di un cookie di sessione" come quelli di cui si parla nella pagina Privacy di beppegrillo.it, sostiene invece Fabio Pietrosanti di Hermes.
"Normalmente però questo tipo di cose viene fatta con finalità anti-frode. Prendiamo un piccolo operatore di telecomunicazioni: può utilizzare una pluralità di javascript per capire quando dei soggetti sospetti utilizzano carte di credito rubate per chiamare, per esempio, a Cuba. Così riescono a scoprire se si tratta sempre dello stesso identico soggetto che naviga con tre browser diversi".
La domanda legittima che ci si potrebbe porre, secondo Pietrosanti, è la seguente: la Casaleggio Associati "fornisce già contenuti personalizzati sulla base di una profilazione non autorizzata dall'utente?"
Cosa dice la pagina Privacy di beppegrillo.it
"Quando un utente utilizza il sito, è possibile che vengano memorizzati alcuni cookie non controllati dal gestore del sito. Questo accade, per esempio, se l'utente visita una pagina che contiene contenuti di un sito web di terzi. Di conseguenza, l'utente riceverà cookie da questi servizi di terze parti. Sui cookie di terza parte il gestore del sito non ha il controllo delle informazioni fornite dal cookie e non ha accesso a tali dati. Queste informazioni sono controllate totalmente dalle società terze secondo quanto descritto nelle rispettive privacy policy". Qui il testo.
Nella tabella dei cookie, tuttavia, non c'è traccia dello script di cui parliamo qui.
PUBBLICITÀIl Garante della Privacy ha proprio in questi giorni prescritto al sito "l'adozione di una specifica modalità di acquisizione del consenso al trattamento dei dati per finalità di promozione commerciale e pubblicitaria e l'indicazione nell'informativa dei soggetti ai quali i dati sono comunicati".
Secondo il presidente dell’Istituto italiano per la privacy, Luca Bolognini, è difficile capire chi siano i titolari del trattamento dei dati personali degli iscritti. "Ma questo è un elemento cruciale anche politicamente, perché sono loro a decidere le finalità e le modalità del trattamento dei dati. In sostanza, sono loro ad avere il vero potere". In riferimento a questo, ci sarebbe già stata "un’illecita trasmissione dei dati a soggetti terzi (Wind e Itnet srl, legate a Rousseau da un contratto per la gestione della sicurezza dei siti, ndr)", si legge nell'intervista alla rivista Formiche.
Come difendersi?
Ci sono diverse modalità, spiega Dal Checco. Innanzitutto non utilizzare i sistemi di memorizzazione delle password: sarebbe meglio infatti ricordarsele o usare un servizio esterno al browser, che non compila in maniera automatica i campi. Dato che questi meccanismi di acquisizione dati sono basati su codice che deve essere attivato, anche l'utilizzo plugin o estensioni per bloccare pubblicità o script può mitigare il rischio. Altrimenti esistono programmi gratuiti come KeePass che permettono di memorizzare password e andarle a recuperare immediatamente quando servono.