Il tasto “Invio” non è una difesa valida per proteggere dati digitali sensibili

AGI – Quando si sottoscrive una newsletter, ci si registra su un sito, si acquista un biglietto, si fa una prenotazione di un hotel o anche il check-out online, si dà per scontato che se si digita male l’indirizzo e-mail o si cambia idea, basta uscire dalla pagina e tutto finisce. La convinzione è che non sia successo nulla finché non si preme il pulsante “Invia” e che i dati che inseriamo non andranno da nessuna parte, finché appunto non premiamo il pulsante di invio. Non è così. I nostri dati sono già andati da qualche parte. Dopo aver analizzato più di 100 mila siti Web, un gruppo di ricercatori della KU Leuven, della Radboud University e dell’Università di Losanna ha scoperto che un numero impressionante di siti Web raccoglieva di nascosto tutto ciò che veniva digitato in un modulo online, anche se gli utenti cambiavano idea e lasciavano il sito senza premere il tasto Invio. 

Le nostre e-mail

Al centro di questa trama ci sono i nostri indirizzi mail. “I marketer si affidano sempre più a identificatori statici come numeri di telefono e indirizzi e-mail perché le aziende tecnologiche stanno gradualmente abbandonando il monitoraggio degli utenti basato sui cookie per motivi di privacy. “Tracciare gli utenti su Internet con i cookie sta diventando sempre più problematico per molte aziende”, ha sottolineato Güneş Acar,  professore e ricercatore della Radboud University, a capo della squadra che si è occupata dello studio.

Raccolta senza consenso

La ricerca ha utilizzato un software che simulava un utente reale, che visitava cioè pagine Web e compilando pagine di accesso o registrazione senza inviare, e ha rilevato in particolare che 1.844 siti Web nell’Ue avevano raccolto i propri indirizzi e-mail senza il consenso dell’utente. Negli Stati Uniti è stato anche peggio, con 2.950 siti che hanno fatto lo stesso.

“Considerando la sua portata, l’invadenza e gli effetti collaterali non intenzionali, il problema della privacy su cui indaghiamo meriterebbe una maggiore attenzione da parte dei fornitori di browser, degli sviluppatori di strumenti per la privacy e delle agenzie di protezione dei dati”, hanno avvertito gli autori nello studio.

Servizi di marketing e analisi dei dati

Il fatto è questo: molti siti incorporano servizi di marketing e analisi di terze parti, che raccolgono i dati dei moduli, indipendentemente dall’invio. “Se c’è un pulsante “Invia” su un modulo, la ragionevole aspettativa è che faccia qualcosa, che invierà i tuoi dati quando fai clic – ha spiegato sempre Güneş Acar – siamo rimasti molto sorpresi da questi risultati. Pensavamo che forse avremmo trovato alcune centinaia di siti in cui la email viene registrata prima dell’invio, ma questo ha superato di gran lunga le nostre aspettative”.

Gli autori dello studio hanno scoperto che i siti Web in cui gli indirizzi e-mail sono stati raccolti, in Europa includevano anche testate internazionali. Dopo aver pubblicato lo studio, i ricercatori hanno anche scoperto che Meta e TikTok stavano utilizzando i propri tracker di marketing, invisibili, per raccogliere dati anche da altre pagine web.

I siti Web che avevano utilizzato Meta Pixel o TikTok Pixel, frammenti di codice che consentono ai domini dei siti Web di tracciare l’attività dei visitatori, avevano una funzione di “corrispondenza avanzata automatica”, che consente alle piattaforme dei social media di acquisire dati dai siti Web dell’inserzionista.

Concretamente che cosa è successo? Quando si inseriva un indirizzo e-mail nella pagina in cui era presente Meta Pixel, i ricercatori hanno scoperto che facendo clic sulla maggior parte dei pulsanti o collegamenti che portavano gli utenti lontano da quella pagina, i dati personali venivano presi da Meta o TikTok.

Secondo le stime dello studio negli Stati Uniti 8.438 siti potrebbero aver fatto arrivare dati a Meta tramite il suo Pixel, mentre 7.379 siti potrebbero essere stati interessati dagli utenti dell’U4.

Come avviene il tracciamento

I ricercatori, che presenteranno i risultati di questo studio alla conferenza sulla sicurezza di Usenix ad agosto, hanno sottolineato che, in sostanza, la pratica è simile a quella dei cosiddetti key logger, programmi dannosi che registrano tutto quello che un determinato soggetto digita. I ricercatori hanno notato però alcune diversità in questa pratica. Alcuni siti hanno registrato i dati battuta per battuta, molti hanno acquisito gli invii completi quando gli utenti hanno fatto clic su quello successivo. 

Le differenze. “In alcuni casi, quando fai clic sul campo successivo – ha precisato Asuman Senol, ricercatore presso KU Leuven e coautore dello studio – raccolgono quello precedente, come se fai clic sul campo della password e loro raccolgono l’e-mail, o semplicemente fai clic in un punto qualsiasi e raccolgono immediatamente tutte le informazioni. Non ci aspettavamo di trovare migliaia di siti Web. Negli Stati Uniti i numeri sono davvero alti, il che è interessante”. 

Secondo i ricercatori le differenze potrebbero essere legate al fatto che le aziende sono più caute riguardo al tracciamento degli utenti e integrano con un minor numero di terze parti, a causa del regolamento generale sulla protezione dei dati dell’UE. Ma sottolineano anche che questa è solo una possibilità .

Per Güneş Acar “il rischio è che gli utenti così verranno tracciati in modo ancora più efficiente: possono cioè essere monitorati su diversi siti Web, su sessioni diverse, su dispositivi mobili e desktop. Un indirizzo email è un identificatore così utile per il tracciamento, perché è globale, unico, costante. Non puoi cancellarlo come cancelli i tuoi cookie. È un identificatore molto potente”.


Il tasto “Invio” non è una difesa valida per proteggere dati digitali sensibili

Da oggi è più semplice rimuovere i nostri dati personali da Google (no, non è il diritto all’oblio)

AGI – Ci sono dei casi in cui il nostro indirizzo mail, il numero di telefono, le credenziali di accesso, gli estremi di documenti, i dati medici (i nostri dati personali) possono finire in rete e venire indicizzati dai motori di ricerca (in pratica da Google) per dolo o per errore. Si tratta di dati sensibili, che se manipolati e nelle mani sbagliate possono avere conseguenze pesanti (pensiamo a pratiche come lo stalking o il furto d’identità). 

Stalking e dossieraggio

Dunque Google ha messo a disposizione dei propri utenti una funzionalità che amplia la possibilità di richiedere la deindicizzazione di questi dati. Amplia perché in realtà Mountain View già ha messo a disposizione degli utenti strumenti per limitare le informazioni che raccoglie come azienda o per consentire a bambini e giovani di richiedere la rimozione delle loro foto dai risultati di ricerca di immagini di Google.

In sintesi vuol dire che nessuno potrà trovare i dati in questione tramite ricerche mirate sul motore di ricerca. Nelle intenzioni di Google si vogliono aiutare le vittime del cosiddetto doxxing, quelle pratiche in cui le informazioni su una persona vengono pubblicate online senza il loro consenso, spesso con intenzioni dannose.

Da questa insieme sono esclusi i dati disponibili su siti istituzionali o fonti ufficiali, dove si presume che la pubblicazione possa avere una qualche legittimazione (diritto di cronaca).

Le notizie

“Quando riceviamo richieste di rimozione – si spiega – valuteremo tutti i contenuti della pagina web per assicurarci di non limitare la disponibilità di altre informazioni ampiamente utili, ad esempio negli articoli di notizie. Valuteremo anche se il contenuto appare come parte del record pubblico su siti di governo o fonti ufficiali. In questi casi, non effettueremo rimozioni».

Come richiedere la deindicizzazione

Per Google si tratta di uno sforzo a tutela della privacy degli utenti, ripulendo il proprio indice di informazioni da quei dettagli che possano rivelarsi deleteri per i singoli. Per le persone si tratta di uno strumento aggiuntivo di autotutela, da sfruttare per rendere la ricerca online meno pericolosa per sé e per la propria sicurezza (personale e online). Una apposita pagina di supporto è a disposizione per quanti possano aver necessità di portare avanti richieste di questo tipo.


Da oggi è più semplice rimuovere i nostri dati personali da Google (no, non è il diritto all’oblio)

Come uscire dal programma beta di Android (senza perdere i propri dati)

L’introduzione della beta QPR da parte di Google ha creato un po’ di confusione nel mondo Android: in precedenza, dopo il rilascio della versione stabile del sistema operativo, il dispositivo era rimosso automaticamente dal programma beta, mentre adesso viene mostrata la notifica per installare la QPR Beta 1.

Ovviamente è sempre possibile uscire dal programma beta di Android, ma la procedura richiederà la formattazione completa del dispositivo, che ovviamente porterà alla completa eliminazione di tutti i dati. Fortunatamente l’utente Reddit ceskyvaclav ha trovato un modo per tornare ad una release stabile senza perdere i dati del proprio smartphone.

Per prima cosa, bisogna assicurarsi di non aver installato la QPR Beta 1 ma di essere rimasti ad una versione di Android 12.1: solo in questo caso, si potrà scaricare e installare il pacchetto OTA stabile di Android 12.1 (seguendo le instruzioni presenti sul sito Google). L’installazione andrà a buon fine poiché la versione installata sul proprio smartphone e quella del pacchetto OTA è la stessa, ma quest’ultimo ha una data di rilascio più recente (e dunque andrà a sostituire completamente la versione beta).

A questo punto la procedura è conclusa: basterà recarsi sul sito dedicato al programma beta di Android ed eliminare il proprio smartphone. Da tenere presente che per Pixel 6 e 6 Pro non è ancora disponibile il file OTA di Android 12.1, dunque al momento non è possibile eseguire la procedura (basta fare attenzione a non installare la QPR Beta 1 e attendere il rilascio dell’OTA di Android 12.1 per poter eseguire quanto descritto).

 

L’articolo Come uscire dal programma beta di Android (senza perdere i propri dati) sembra essere il primo su Androidworld.


Come uscire dal programma beta di Android (senza perdere i propri dati)

Google Takeout offrirà nuovi modi per trasferire dati in modo sicuro a servizi diversi

Da qualche anno alcuni dei più grandi attori del settore tech, come Google, Facebook/Meta, Microsoft e Twitter, hanno avviato un progetto per rendere il trasferimento dati tra piattaforme molto più semplice e rapido.

Ad oggi il progetto si è allargato, anche grazie all’approdo di Apple, e Google ha scelto di investire una nuova rilevante somma di denaro, pari a 3 milioni di dollari e diverse nuove figure ingegneristiche, nell’implementazione del servizio. Sembra che questo arriverà con il nome Google Takeout e si occuperà del trasferimento dati esclusivamente su cloud da una piattaforma all’altra.

Google stima che con Takeout si avrebbero circa 8,2 milioni di trasferimenti dati soltanto su base mensile. Lo strumento renderà possibile l’ottimizzazione di trasferimento dati tra piattaforme, come la sincronizzazione delle immagini tra l’account Facebook e Google Foto oppure come il trasferimento immagini da iCloud a Google Foto.

Per maggiori dettagli tecnici, sia per sviluppatori che per utenti privati, potete approfondire la conoscenza sul progetto consultando il suo sito ufficiale.

L’articolo Google Takeout offrirà nuovi modi per trasferire dati in modo sicuro a servizi diversi sembra essere il primo su Smartworld.


Google Takeout offrirà nuovi modi per trasferire dati in modo sicuro a servizi diversi

Samsung forse è stata hackerata: 190GB di dati sensibili a rischio

Dopo i problemi scovati per Firefox, non arrivano notizie liete per Samsung. Nelle ultime ore sono emersi da più parti dettagli in merito ad un importante data breach ai danni del gigante sudcoreano.

Pochi giorni fa sarebbe infatti emerso online, come riferito dal Bleeping Computer, un imponente database di 190GB di dati, tra i quali anche dati sensibili, appartenenti a Samsung. Il gruppo di hacking denominato Lapsus$ li avrebbe sottratti all’azienda susdcoreana. Tra i dati pubblicati online sono stati scovati i codici bootloader dei più recenti dispositivi Samsung, alcune importanti informazioni relative allo sblocco biometrico e altre informazioni confidenziali relative a partnership con Qualcomm.

Al momento Samsung non si è pronunciata ufficialmente sull’accaduto, ma ha fatto sapere di essere a lavoro per capire come il database possa essere stato pubblicato online. Torneremo ad aggiornarvi appena ne sapremo di più.

L’articolo Samsung forse è stata hackerata: 190GB di dati sensibili a rischio sembra essere il primo su Smartworld.


Samsung forse è stata hackerata: 190GB di dati sensibili a rischio

L’app ufficiale delle Olimpiadi invernali di Pechino mette a rischio i dati degli utenti

L’app ufficiale delle Olimpiadi ha diversi bug di sicurezza.

Link all’articolo originale: L’app ufficiale delle Olimpiadi invernali di Pechino mette a rischio i dati degli utenti


L’app ufficiale delle Olimpiadi invernali di Pechino mette a rischio i dati degli utenti

iMessage, ecco come risparmiare dati con l’opzione “Immagini a bassa qualità”

Scopriamo a cosa serve e come abilitare la funzione “Immagini a bassa qualità” in Messaggi.

Link all’articolo originale: iMessage, ecco come risparmiare dati con l’opzione “Immagini a bassa qualità”


iMessage, ecco come risparmiare dati con l’opzione “Immagini a bassa qualità”

AGCM, Apple dovrà pagare 10 milioni di euro per l’uso dei dati degli utenti a fini commerciali

Apple e Google dovranno pagare 20 milioni di euro per l’uso improprio dei dati degli utenti.

Link all’articolo originale: AGCM, Apple dovrà pagare 10 milioni di euro per l’uso dei dati degli utenti a fini commerciali


AGCM, Apple dovrà pagare 10 milioni di euro per l’uso dei dati degli utenti a fini commerciali