Il tasto “Invio” non è una difesa valida per proteggere dati digitali sensibili

AGI – Quando si sottoscrive una newsletter, ci si registra su un sito, si acquista un biglietto, si fa una prenotazione di un hotel o anche il check-out online, si dà per scontato che se si digita male l’indirizzo e-mail o si cambia idea, basta uscire dalla pagina e tutto finisce. La convinzione è che non sia successo nulla finché non si preme il pulsante “Invia” e che i dati che inseriamo non andranno da nessuna parte, finché appunto non premiamo il pulsante di invio. Non è così. I nostri dati sono già andati da qualche parte. Dopo aver analizzato più di 100 mila siti Web, un gruppo di ricercatori della KU Leuven, della Radboud University e dell’Università di Losanna ha scoperto che un numero impressionante di siti Web raccoglieva di nascosto tutto ciò che veniva digitato in un modulo online, anche se gli utenti cambiavano idea e lasciavano il sito senza premere il tasto Invio. 

Le nostre e-mail

Al centro di questa trama ci sono i nostri indirizzi mail. “I marketer si affidano sempre più a identificatori statici come numeri di telefono e indirizzi e-mail perché le aziende tecnologiche stanno gradualmente abbandonando il monitoraggio degli utenti basato sui cookie per motivi di privacy. “Tracciare gli utenti su Internet con i cookie sta diventando sempre più problematico per molte aziende”, ha sottolineato Güneş Acar,  professore e ricercatore della Radboud University, a capo della squadra che si è occupata dello studio.

Raccolta senza consenso

La ricerca ha utilizzato un software che simulava un utente reale, che visitava cioè pagine Web e compilando pagine di accesso o registrazione senza inviare, e ha rilevato in particolare che 1.844 siti Web nell’Ue avevano raccolto i propri indirizzi e-mail senza il consenso dell’utente. Negli Stati Uniti è stato anche peggio, con 2.950 siti che hanno fatto lo stesso.

“Considerando la sua portata, l’invadenza e gli effetti collaterali non intenzionali, il problema della privacy su cui indaghiamo meriterebbe una maggiore attenzione da parte dei fornitori di browser, degli sviluppatori di strumenti per la privacy e delle agenzie di protezione dei dati”, hanno avvertito gli autori nello studio.

Servizi di marketing e analisi dei dati

Il fatto è questo: molti siti incorporano servizi di marketing e analisi di terze parti, che raccolgono i dati dei moduli, indipendentemente dall’invio. “Se c’è un pulsante “Invia” su un modulo, la ragionevole aspettativa è che faccia qualcosa, che invierà i tuoi dati quando fai clic – ha spiegato sempre Güneş Acar – siamo rimasti molto sorpresi da questi risultati. Pensavamo che forse avremmo trovato alcune centinaia di siti in cui la email viene registrata prima dell’invio, ma questo ha superato di gran lunga le nostre aspettative”.

Gli autori dello studio hanno scoperto che i siti Web in cui gli indirizzi e-mail sono stati raccolti, in Europa includevano anche testate internazionali. Dopo aver pubblicato lo studio, i ricercatori hanno anche scoperto che Meta e TikTok stavano utilizzando i propri tracker di marketing, invisibili, per raccogliere dati anche da altre pagine web.

I siti Web che avevano utilizzato Meta Pixel o TikTok Pixel, frammenti di codice che consentono ai domini dei siti Web di tracciare l’attività dei visitatori, avevano una funzione di “corrispondenza avanzata automatica”, che consente alle piattaforme dei social media di acquisire dati dai siti Web dell’inserzionista.

Concretamente che cosa è successo? Quando si inseriva un indirizzo e-mail nella pagina in cui era presente Meta Pixel, i ricercatori hanno scoperto che facendo clic sulla maggior parte dei pulsanti o collegamenti che portavano gli utenti lontano da quella pagina, i dati personali venivano presi da Meta o TikTok.

Secondo le stime dello studio negli Stati Uniti 8.438 siti potrebbero aver fatto arrivare dati a Meta tramite il suo Pixel, mentre 7.379 siti potrebbero essere stati interessati dagli utenti dell’U4.

Come avviene il tracciamento

I ricercatori, che presenteranno i risultati di questo studio alla conferenza sulla sicurezza di Usenix ad agosto, hanno sottolineato che, in sostanza, la pratica è simile a quella dei cosiddetti key logger, programmi dannosi che registrano tutto quello che un determinato soggetto digita. I ricercatori hanno notato però alcune diversità in questa pratica. Alcuni siti hanno registrato i dati battuta per battuta, molti hanno acquisito gli invii completi quando gli utenti hanno fatto clic su quello successivo. 

Le differenze. “In alcuni casi, quando fai clic sul campo successivo – ha precisato Asuman Senol, ricercatore presso KU Leuven e coautore dello studio – raccolgono quello precedente, come se fai clic sul campo della password e loro raccolgono l’e-mail, o semplicemente fai clic in un punto qualsiasi e raccolgono immediatamente tutte le informazioni. Non ci aspettavamo di trovare migliaia di siti Web. Negli Stati Uniti i numeri sono davvero alti, il che è interessante”. 

Secondo i ricercatori le differenze potrebbero essere legate al fatto che le aziende sono più caute riguardo al tracciamento degli utenti e integrano con un minor numero di terze parti, a causa del regolamento generale sulla protezione dei dati dell’UE. Ma sottolineano anche che questa è solo una possibilità .

Per Güneş Acar “il rischio è che gli utenti così verranno tracciati in modo ancora più efficiente: possono cioè essere monitorati su diversi siti Web, su sessioni diverse, su dispositivi mobili e desktop. Un indirizzo email è un identificatore così utile per il tracciamento, perché è globale, unico, costante. Non puoi cancellarlo come cancelli i tuoi cookie. È un identificatore molto potente”.


Il tasto “Invio” non è una difesa valida per proteggere dati digitali sensibili

Come sarà Twitter con l’introduzione del tasto “modifica”

AGI – Riuscirà Elon Musk dove ha fallito Kim Kardashian? Dopo aver sborsato 3,8 miliardi di dollari, il ceo di Tesla è diventato il principale azionista di Twitter e si è conquistato una poltrona nel board della compagnia.

Primo “provvedimento”: un sondaggio in cui chiede ai suoi follower se vogliono il “tasto edit”.

Cioè la possibilità di modificare un tweet già pubblicato. L’esito non ha sorpreso: tre utenti su quattro hanno risposto di “sì”.

Quella della possibile correzione è infatti una richiesta avanzata da anni, senza però mai aver trovato concretezza.

Già nel 2013 era trapelata da una fonte interna la notizia – riportata da The Desk – secondo cui Twitter stesse lavorando alla nuova funzionalità.

Le primissime indiscrezioni risalivano però ad almeno un paio d’anni prima. Nel 2015 ci ha provato anche Kim Kardashian, scrivendo una mail alla società per chiedere di introdurre la correzione, quantomeno per piccole modifiche e refusi.

La risposta era arrivata dal ceo e fondatore Jack Dorsey, con un cinguettio: “Grande idea, siamo sempre alla ricerca di modi per rendere le cose più rapidi e semplici”. Poi, però, nulla.

Neppure quando, nel 2017, la piattaforma rinuncia al totem dei 140 caratteri portando il limite a 280.

Molti utenti si aspettavano un cambiamento a cavallo tra il 2018 e il 2019. In quei mesi, infatti – pungolato dallo scandalo Facebook-Cambridge Analytica – Twitter aveva introdotto consistenti novità grafiche ed eliminato il conteggio in tempo reale dei follower. Ma, ancora una volta, niente tasto “correggi”.

 Sempre in quel periodo delicato, Dorsey aveva spiegato il perché: “Non possiamo creare qualcosa che esclude informazioni di dominio pubblico”.

In altre parole, secondo il fondatore la funzionalità permetterebbe di correggere ciò che non è più gradito, condizionando la discussione limitando uno dei più grandi pregi di Twitter: essere un gigantesco archivio, nel quale è possibile cancellare ma non modificare le affermazioni cinguettate.

Vista questa esigenza, diversi utenti hanno avanzato soluzioni che potessero mediare, ad esempio con la possibilità di modifica limitata nel tempo (anche a pochi minuti).

Nulla: nel 2020 Dorsey ha sottolineato che, probabilmente, la funzionalità non sarebbe “mai” stata introdotta.

Adesso però Musk e la sua quota miliardaria sembrano aver riaperto la questione.

Poche ore dopo il sondaggio del nuovo grande azionista, Twitter ha confermato che “sì, ci stiamo lavorando dallo scorso anno”, anche se “no, l’idea non e’ arrivata dal sondaggio”.

L’attuale ceo, Parag Agrawal, lo ha rilanciato, raccomandando di “votare con attenzione” perché “i risultati avranno conseguenze”.

Jay Sullivan, il responsabile consumer product di Twitter, ha fornito qualche elemento in piu’: ci sara’ “un test nei prossimi mesi, partendo da Twitter Blue”, la versione su abbonamento della piattaforma.

“Da anni è la funzionalità più richiesta. Le persone vogliono essere in grado di correggere errori (a volte imbarazzanti)”.

C’è un però: “Senza limiti di tempo, controlli e trasparenza su ciò che è stato modificato”, il tasto edit “potrebbe essere utilizzato in modo improprio per alterare la conversazione pubblica. Proteggerne l’integrità è la nostra massima priorita’”.

Pertanto “ci vorrà del tempo” prima che la possibilità di correggere sia aperta a tutti. Dalle parole di Sullivan emergono quindi almeno due punti.

Primo: Twitter ci sta lavorando ma ci andrà piano, perchè il problema centrale resta quello sottolineato qualche anno fa da Dorsey: dare il via libera alle modifiche moltiplica il rischio di manipolare la conversazione.

Secondo: non sembra esserci spazio per una correzione permanente. Si va quindi verso una modifica a tempo. Anche Musk ha voluto partecipare alla discussione, nel suo stile, con due meme. Il primo raffigura un domino formato da tasselli via via più grandi. Il piu’ piccolo rappresenta “la vendita di Zip2 a Compaq per 305 milioni”, cioé la prima grande operazione di Musk.

L’ultimo è invece “l’introduzione del tasto edit su Twitter”. Come a dire – con ironia – che tutta la carriera di Musk ha innescato una serie di eventi chiusi con la nuova funzionalità. Non contento, il fondatore di Space X ha pubblicato un’altra immagine: risale a qualche anno fa, quando fumo’ marijuana durante una diretta radiofonica. È accompagnata dalla frase “il prossimo board di Twitter sarà acceso”.


Come sarà Twitter con l’introduzione del tasto “modifica”