Pensavate che l’enorme caos generato da Facebook e Cambridge Analytica fosse finito? Per nulla. Si chiama NameTests la software house che negli ultimi due anni ha realizzato alcuni tra i più famosi quiz sul social network di Mark Zuckerberg. Questi hanno raggiunto almeno 120 milioni di persone, quante adesso sono a rischio violazione privacy, per colpa di pratiche di conservazione che non hanno per nulla protetto i navigatori.
Cosa succede
Come l’app thisisyourdigitallife di Cambridge Analytica, al click su uno dei quiz di NameTests,la cui proprietaria è la tedesca Social Sweethearts, tutte le principali informazioni dell’iscritto vanno a finire sui server aziendali, arricchendo database e permettendo di creare campagne di marketing ad-hoc, che nel caso di Cambridge erano finalizzate a sostenere la corsa elettorale di Donald Trump.
Il problema non è tanto questo, non solo almeno, quanto il fatto che il sito web di NameTests, dove vengono archiviati i dati, soffriva di un pesante bug, che rendeva accessibili a chiunque i file, inseriti in un modulo JavaScript in chiaro. Se la vulnerabilità di Analytica era prettamente etica (utilizzo per finalità di manipolazione del comportamento) quella di Social Sweethearts è tecnica, causata da una falla nel processo di memorizzazione dei contenuti.
Vizio tecnico dal 2016
A scoprirlo è stato Inti De Ceukelaire , hacker che Il 22 aprile di quest’anno ha contattato Facebook per segnalare la questione che, tuttavia, viene presa in carico solo un mese dopo ed effettivamente risolta il 25 giugno, pochi giorni fa. In tutto questo periodo, e secondo De Ceukelaire già dal 2016, le informazioni di chi eseguiva i test via social, molti dei quali volti a scoprire la personalità, andavano a finire su https://nametests.com/appconfig_user, in quel famoso modulo JavaScript.
Falla non sfruttata, o forse si
Dal canto suo, Social Sweethearts afferma come non vi siano prove di intromissione dei file e dunque di furto concreto dei dati ospitati in rete. Ma, come avvenuto per Cambridge Analytica, non è detto che le conseguenze potessero essere direttamente percettibili dalle vittime.
Uno screen di Nametests
Cioè, a differenza di quando si prende un virus sul computer o sul cellulare, abusare di certe informazioni può voler dire anche basarsi su queste per mostrare alcune pubblicità invece che altre durante la navigazione sui siti, recuperare gli indirizzi email a scopo di mailing list, scoprire chi è a favore o contro l’uscita dall’euro, l’apertura dei porti, le famiglie arcobaleno. Insomma, un tesoro di Big Data che vale più di quanto si pensi.
Perché Facebook
Cosa c’entra Facebook in tutto questo? Come detto poco a livello tecnico, molto sotto il punto di vista organizzativo. Le API, cioè le stringhe che permettono agli sviluppatori di integrare i loro software nell’interfaccia della piattaforma web e app, non possono essere concesse a qualsiasi richiedente ma dovrebbero prevedere una sorta di processo di verifica primario, che oggi si ferma alla sola fattibilità del prodotto-applicazione e non alle finalità previste dai dati ottenuti.
E invece basta iscriversi al programma sviluppatori del social network per accedere alle aree developers e tentare di raggiungere il più alto numero di utilizzatori da cui prelevare informazioni critiche, essenziali per conoscere una persona, i suoi gusti e le sue aspettative, che sono più reali di quanto l’identità digitale faccia credere.
La risposta di Facebook
Ime Archibong, vice presidente delle partnership di prodotto di Facebook ha detto: "Un ricercatore ha portato alla nostra attenzione il problema con il sito nametests.com, attraverso il programma di ricerca bug, lanciato ad aprile per incoraggiare una più attenta analisi sui dati che ci coinvolgono. Abbiamo lavorato con nametests.com per risolvere la vulnerabilità, completata a giugno".
Queste invece le parole di Thomas Schwenke, responsabile della protezione dei dati presso Social Sweethearts (i developer di NameTest): "Abbiamo esaminato a fondo il caso e non è stata trovata alcuna prova che i dati personali degli utenti siano venuti nelle mani di terze parti non autorizzate, e non ci sono evidenze che le informazioni siano state usate in modo improprio. Tuttavia, prendiamo seriamente la questione e stiamo lavorando per evitare rischi in futuro".
