Key4biz

Privacy: non ci vuole l’NSA, basta un cookie per rivelare la nostra identità

Mondo


I documenti fatti trapelare da Edward Snowden negli ultimi mesi ci hanno rivelato di come la NSA abbia sfruttato l’ubiquità dei cookies per seguire la navigazione degli utenti internet, trasformando di fatto questi strumenti ‘pubblicitari’ in veri e propri strumenti di sorveglianza. Ora, un nuovo studio dei ricercatori di Princeton rivela che non servono le risorse dell’intelligence americana per monitorare il traffico dei singoli utenti del web, e da questo risalire alla loro identità. Usando soltanto i dati del traffico di ad-tracker come Google DoubleClick è infatti possibile ricostruire fino al 90% dell’attività online di un utente, senza bisogno di speciali accessi ai dati, ma semplicemente osservando il traffico sulla rete.


“Questo dimostra come il vero pericolo per la riservatezza non è dato dall’uso del singolo dato personale, ma dalla possibilità di incrociarlo e abbinarlo ad altre informazioni raccolte consentendo in tale modo l’effettuazione di vere e proprie forme di schedatura sociale che non tengono in alcun conto dei diritti degli interessati e che rischiano di ridurre gli individui a merce – dice a Key4biz Luigi Montuori, Capo Dipartimento comunicazioni e reti telematiche del Garante Privacy Dalla consapevolezza di tali rischi è nata l’esigenza per il Garante di intervenire anche sui trattamenti svolti in rete su aspetti quali l’informativa da dare all’interessato nel momento in cui si raccolgono i suoi dati e di raccoglierne conseguentemente il consenso ivi compresi per quelli svolti tramite l’utilizzo dei cookies”. 

 

I cookie sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook ecc.) dell’utente, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. Sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni riguardanti la navigazione on line, ma sono molto spesso utilizzati dai siti per raccogliere importanti e delicate informazioni all’insaputa degli utenti sui loro gusti, sulle loro abitudini, sulle loro scelte. Possono essere, insomma, potenzialmente molto intrusivi.

 

Come scoperto dai ricercatori, che hanno condotto una simulazione per circa tre mesi, i cookies ‘unici’ sono così diffusi e forniscono così tante informazioni pubbliche che qualsiasi ‘spione’ anche non professionista può collegare fra loro fino al 90% delle richieste di un dato utente e, cosa ancora più sconvolgente, seguendo quegli stessi cookies su servizi come Facebook o Google+ dare anche un nome a quell’utente.

 

 

 

È insomma facilissimo, partendo da una data pagina che un utente ha visitato,  rintracciare il nome dell’utente e le altre pagine che ha visto. Soltanto in pochi casi le misure di sicurezza come l’HTTPS hanno reso lo spionaggio più difficoltoso, ma quasi mai impossibile.

L’unica solida protezione si è rivelata la rete di routing Tor, che impedisce l’analisi del traffico.

“Cercando di capire come un intercettatore può risalire all’identità di una persona partendo dalle pagine associate a un ID pseudonimo è venuto fuori come sia sorprendentemente facile farlo – molti siti rivelano elementi identificativi quali nome, username o email su pagine non crittografate per gli utenti loggati e questo implica che chiunque voglia ficcare il naso può vederli”, dicono i ricercatori.

Circa la metà dei siti più popolari hanno qualche tipo di falla che consente di risalire all’identità degli utenti che li visitano.

“Anche se non è una sorpresa che il traffico web contenga informazioni sensibili sui singoli individui, quello che dimostriamo è come da questo traffico si possa estrarre un profilo completo di ciascuno, anche nella moltitudine di dati generati da milioni di utenti”, sottolineano ancora i ricercatori.

“Inoltre uno spione può collegare questi profili alle identità reali senza la collaborazione di alcun sito. Anche se l’utilizzo del protocollo HTTPS può aiutare, l’unica soluzione pratica, al momento, sembra essere l’installazione da parte dell’utente di strumenti anti-tracking”, concludono i ricercatori.

Exit mobile version