Web & Social

Privacy e Sicurezza: siamo tutti sotto osservazione, lo rivela il nuovo studio di Princeton

In un’era in cui la tecnologia domina ad ampio spettro il nostro vivere quotidiano, parlare di sicurezza e privacy risulta quanto meno doveroso e di certo interessante per capire le dinamiche che si celano dietro l’utilizzo di un dispositivo elettronico, sia esso uno smartphone, un tablet, un PC o anche un moderno TV Smart.

Secondo i ricercatori del Center for Information Technology Policy di Princeton (CITP) tutti gli utenti sono sotto stretta osservazione da parte di oltre 400 dei 50.000 siti Web più importanti al mondo, per i quali si è rivelato l’utilizzo di uno script di tracciamento che prende in esame le sessioni online degli interessati.

Benché la cosa non possa apparire poi così sconcertante in considerazione del nuovo trend del periodo, c’è da considerare il fatto che i ricercatori sostengono che questi siti spesso non si limitano a raccogliere indiscriminatamente le informazioni personali degli utenti, ma cedono potenzialmente ed involontariamente questi dati in mano a terze parti che, in luogo di un attacco mirato, si possono portare alla sottrazione di estremi per account e password che mettono a serio repentaglio la nostra sicurezza. 

Nel dettaglio delle loro scoperte portate avanti a partire dalla scorsa settimana, i ricercatori CITP Steve Englehart, Gunes Acar e Arvind Narayan hanno detto di aver preso in esame sette delle migliori società di replay online che utilizzano  script di ripetizione di sessione e framework ai siti web.

Nel particolare, si sono considerati Clicktale, FullStory, Hotjar, SessionCam, Smartlook, UserReplay e Yandex. Lo studio ha portato avanti un report in cui si è indicata non soltanto la tipologia dei dati raccolti ma anche come è avvenuta la raccolta stessa. La creazione di pagine di testing ad hoc, in questo caso, ha consentito la valutazione di sei di queste società per le quali è emerso un utilizzo indiscriminato dei sistemi a danno degli ignari utenti, ora esposi ad un serio e concreto pericolo per la privacy.

I ricercatori di sicurezza sostengono che almeno 482 dei 50.000 siti Web più importanti al mondo utilizzano script di riproduzione delle sessioni e che questo numero potrebbe rappresentare soltanto un’indicazione sommaria della portata del fenomeno. I ricercatori hanno compilato un elenco completo dei siti Web che utilizzano script simili ed hanno posto particolare enfasi su un problema che rischia seriamente di comprometterci su ogni fronte, in luogo del fatto che alcune di queste informazioni possono essere collegate a dati personali identificabili. Al riguardo, i ricercatori hanno spiegato che: 

“La raccolta dei contenuti dalle pagine da parte degli script di replay di terze parti può far sì che informazioni sensibili quali condizioni mediche, dettagli della carta di credito e altre informazioni personali visualizzate su una pagina vengano divulgate a terzi come parte della registrazione. Furto di identità, truffe online e altri comportamenti indesiderati sono altresì potenzialmente possibili. Lo stesso vale per la raccolta di input dell’utente durante i processi di checkout e registrazione”

Alcuni provider di script di riproduzione di sessione, come SessionCam e UserReplay, non raccolgono le info dell’utente, ma si limitano a tracciare i click ed a fornire un sistema di compilazione automatico dei dati nei campi di testo. Tuttavia, anche in questo caso, permangono alcuni problemi di fondo che possono verosimilmente portare, anche in questo caso, alla sottrazione dei dati utente nonostante il meccanismo automatico di inserimento.

Il contenuto a schermo, di fatto, viene sempre raccolto e ciò costituisce un problema di non poco conto. A tal proposito si considera il caso di Walgreens e della sottrazione dei dati che contenevano nomi utente, condizioni mediche e prescrizioni.

Infine, mentre i siti Web che ospitano gli script di riproduzione delle sessioni possono essere protetti dal protocollo HTTPS crittografato, i dashboard di riproduzione delle sessioni possono utilizzare lo standard HTTP, notoriamente vulnerabile ad ogni genere di attacco informatico e di sicurezza. 

In tal caso, si portano in evidenza gli script di Hotjar, Smartlook e Yandex che, secondo quanto osservato dai ricercatori CITP, consentirebbero agli aggressori di utilizzare attacchi man-in-the-middle per ottenere l’accesso ai dati dell’utente mentre vengono trasmessi a server di terze parti. Yandex in una sua dichiarazione in risposta allo studio ha dichiarato apertamente che:

“HTTP viene utilizzato intenzionalmente, poiché le registrazioni di sessione caricano siti Web utilizzando iframe. Sfortunatamente, il caricamento del contenuto HTTP dai siti Web HTTPS è vietato a livello di browser, quindi è richiesto allo script di accedere tramite supporto HTTP ai siti Web per questa funzionalità”

Tra i siti che utilizzano script di riproduzione delle sessioni, i nomi principali includono Bonobo e Fidelity, oltre al già sopracitato Walgreens. Dopo la pubblicazione dello studio CITP la scorsa settimana, Bonobos ha riferito di aver bloccato la condivisione dei dati con FullStory e che stava rivedendo i suoi protocolli per proteggere meglio i dati degli utenti. 

 Un portavoce di Fidelity ha dichiarato che a protezione dei dati dei clienti era la sua massima priorità, ma non ha chiarito se avrebbe smesso di usare tali script. Walgreens ha preso la stessa strada di Bonobo ed ha riferito che ha dismesso al condivisione dei dati con FullStory in attesa di un’analisi interna volta ad accertare potenziali vulnerabilità di protocollo.

Federica Vitale

Ho studiato Shakespeare all'Università e mi ritrovo a scrivere di tecnologia, smartphone, robot e accessori hi-tech da anni! La SEO? Per me è maschile, ma la rispetto ugualmente. Quando si suol dire "Sappiamo ciò che siamo ma non quello che potremmo essere" (Amleto, l'atto indovinatelo voi!)

Recent Posts

Recensione Shark Detect Pro: aspirapolvere di qualità con autosvuotamento

Shark Detect Pro è il nome della nuova gamma di scope elettriche intelligenti di Shark, azienda che nel corso degli anni si sta…

21 Dicembre 2024

Vischio: non solo tradizione e baci ma anche salute

Tra le tante, tantissime, tradizioni del periodo natalizio c'è quella del vischio. Si parla di una tradizione secolare che al…

21 Dicembre 2024

Cosa succede nell’oceano quando due cicloni si scontrano?

Quando due cicloni tropicali si scontrano, si creano effetti complessi e straordinari sia nell’atmosfera sia nell’oceano. Un caso emblematico è…

21 Dicembre 2024

Videogiochi open-world: una via verso il relax e il benessere mentale

I videogiochi open-world, ottenuti dalla libertà di esplorare vasti ambienti senza rigidi vincoli narrativi, stanno guadagnandosi il riconoscimento non solo…

21 Dicembre 2024

WhatsApp: come menzionare un gruppo nell’aggiornamento di stato

WhatsApp porta in campo una nuova funzione per gli aggiornamenti di stato. Dopo l'aggiunta delle menzioni per i singoli contatti,…

20 Dicembre 2024

La dopamina e il cuore: un legame cruciale nella risposta allo stress

La dopamina, spesso associata al piacere e alla ricompensa, svolge un ruolo chiave non solo nel cervello, ma anche nella…

20 Dicembre 2024