La privacy impossibile 1

Ashley Madison

E’ stata un’estate calda quella che sta terminando, sotto vari punti di vista, guerra all’ISIS e questione migranti, soprattutto. Ma è stata anche l’estate dell’hack a AshleyMadison.com, evento che in Italia è passato un po’ in sordina sugli organi di stampa mainstream, derubricato ad argomento pruriginoso di costume e gossip, un po’ come accadde per il famoso leak delle foto private dei VIP dello scorso anno.

Questo approccio è SBAGLIATO. L’hack di AshleyMadison.com non è un tema da lasciare in pasto ai soli esperti di sicurezza informatica, hacking e privacy. Si tratta di un qualcosa di epocale, qualcosa di paragonabile a un 11 Settembre dell’utopia di Internet, un terremoto che ha fatto cadere il velo sulla guerra (di dati e di soldi, sui dati e sui soldi che possono generare), con tanto di terrorismo, che si sta combattendo da tempo in Rete. Il velo era ormai strappato, quasi trasparente, ma c’era ancora. Ora non più. Per tutta una serie di motivi che ora vado a disaminare.

Le dimensioni dell’hack. Dimenticatevi le password rubate di Linkedin o di altre piattaforme. Anche se eventi gravi e inquietanti, non possono essere paragonati a quanto accaduto a luglio. Ben 37 milioni di profili, l’intero database del sito di dating è stato violato e trafugato dal sedicente gruppo The Impact Team. Ma non si tratta soltanto dei numeri, si tratta della tipologia dei dati che sono stati resi pubblici: numeri di carte di credito, transazioni finanziarie, ma soprattutto nomi e indirizzi degli utenti, fondamentali visto che stiamo parlando di un sito che per larga parte è “specializzato” nel proporre scappatelle extra-coniugali ai suoi iscritti.

Gogna mediatica e sentinelle moraliste. Siamo lontani anni-luce sia dagli Anni Novanta e dalla percezione dell’anonimato in Rete, sia dalla Netiquette in voga tra gli utenti pionieri dell’epoca. La popolarizzazione di Internet ha eliminato consapevolezza e buon senso, promuovendo una cultura da sentinelle moraliste che porta alla ricerca della gogna mediatica, come ben espresso da Glenn Greenwald in questo post. Nessuna empatia per chi si è ritrovato con la vita privata esposta in pubblico. Sono tutti dei peccatori e dei bugiardi, come hanno espresso gli hacker tra le motivazioni della loro rappresaglia. E’ la nuova declinazione di Internet, da paradigma di libertà e democrazia a sinonimo di controllo e spionaggio. Nessuno è sensibile alle questione della privacy, basta vedere quali password semplicissime vengono impostate durante la creazione degli account. Nessuno è sensibile, fintanto che la gogna non lo tocca di persona. Ed è assai improbabile che si arriverà a un nuovo equilibrio sociale post-imbarazzo come quello descritto dal Guardian.

Il business dei dati. Ma quel che è accaduto non è soltanto un’esposizione di fatti personali con conseguenze prevedibili e pesantissime nella vita reale dei danneggiati. E’ l’esposizione di un business che lucra sui dati personali, e lo fa spesso contravvenendo non solo ai termini di servizio proposti agli utenti, ma anche ai termini di legge tout-court.

Prendete proprio AshleyMadison.com, ad esempio. Da quanto è emerso durante le indagini, il sito si è comunque macchiato di una serie di leggerezze o scorrettezze contro la propria utenza.

  • Creava account con email non verificate. Avete presente quando vi iscrivete a qualche sito e all’indirizzo che avete fornito viene mandata un’email con all’interno un link da cliccare per confermare che siete i proprietari di quella casella? AM.com non la mandava, quindi chiunque poteva registrarsi comunicando email di altre persone, se non addirittura false. Questa prassi permetteva al sito di gonfiare artificialmente i propri dati d’iscrizione, e verosimilmente di equilibrare le proporzioni tra uomini e donne, notoriamente assai sbilanciate a favore dei primi in questo tipo di servizi.
  • Vendeva un servizio per cancellare totalmente il proprio profilo. La Full Delete, al costo di 19 dollari, prometteva di eliminare tutti i dati, lo storico delle attività e le foto dell’utente, a differenza della semplice disattivazione, che nascondeva soltanto il profilo dalle ricerche. Questa funzione, notevolmente pubblicizzata, ha fruttato a AM.com ben 1.9 milioni di dollari nel solo 2014. Le persone, spaventate dal poter essere rintracciate nelle loro attività private, la attivavano in massa. Stando alle accuse degli hacker, la cancellazione non veniva realmente eseguita, come il dump del database dimostrerebbe. Nondimeno, esistono numerosi servizi, sempre nel campo dell’adult e del dating, che non danno alcuna possibilità di cancellazione dei dati. Neanche teorica.

AM.com, come service provider, è solo un anello della catena del business dei dati. Nella quale entrano, volenti o nolenti, anche gli hacker di The Impact Team, gli autori della rappresaglia. Per quanto sia difficile simpatizzare con AM.com, questo hacking ha ben poco di dimostrativo e molto di criminale, sebbene apparentemente non sia lucrativo. Apparentemente, perché di impatti ne ha avuti.

  • The Impact Team ha avuto “impatto” sulla vita e la reputazione di milioni di persone che si sono registrate a un sito per fare scappatelle, ma non è detto che abbiano avuto scappatelle. Non è detto neanche che fossero veramente loro a registrarsi, chiunque avrebbe potuto usare le loro email o dichiarare i loro nomi.
  • The Impact Team ha avuto “impatto” sulla vita di AM.com, che verosimilmente non avrà futuro dopo questo scandalo. A quanto ammonta un danno del genere? Un gruppo di hacker può influenzare la fine di un’azienda che, comunque, da lavoro a decine o centinaia di famiglie?

Ma non ci sono soltanto la vittima e l’aggressore, in questo business dei dati. Che dire delle società di consulenza che hanno raccolto i dati pubblicati e ne hanno fatto un motore di ricerca? Hanno contribuito alla diffusione degli stessi, che fino a quel momento erano raggiungibili soltanto nel cosiddetto “Dark Web”, una porzione criptata e decisamente non accessibile per l’utente medio.

Qual è stato il motivo di questa iniziativa? Lucrare, ovvio. Chiunque esegua una ricerca su uno di questi motori riceve poi un’email nella quale vengono venduti dei servizi professionali per far sparire da Internet i dati. Si tratta di una versione “legalizzata” di quello che molti ricattatori e spammer stanno facendo nell’ultimo mese: scrivere email ai 37 milioni di utenti, ricattandoli. Qualcuno, non si sa se per la vergogna o per la pressione, non ha retto e si sono già registrati i primi suicidi. Ma non sembra importare poi molto, visto che un giornale prestigioso come il Washington Post non ha rinunciato a produrre un articolo acchiappa-click dove spiega come scoprire se il vostro partner/fratello/amico/collega è un presunto fedifrago, linkando con disinvoltura i suddetti motori di ricerca. Dov’è la notizia, dov’è l’informazione?

Siamo nell’economia dei dati, ce l’avevano già fatto capire Google e Facebook. Più dati hai, più potere hai. Economico, ma non solo. Il caso di AM.com potrebbe sembrare estremo, dato il mercato borderline a cui afferisce, oppure è soltanto la punta dell’iceberg di un fenomeno che sta trovando terreno fertile nel progressivo disvalore della privacy.

La privacy non è nemica dei dati, ma dovrebbe regolamentarne la diffusione. La privacy spesso si basa su di un patto tra utente e service provider. Ma se il service provider non mantiene il patto per guadagnare qualcosa in più, e se l’utente non è inizialmente sensibile al tema, quale privacy è ancora possibile?

Vuoi ricevere i post via email?
I post della settimana, ogni venerdì alle 9, più qualche sporadica lettera.
Rispetterò la tua privacy

One comment on “La privacy impossibile

  1. Pingback: Westworld, fantascienza classica reloaded - Enrico Giammarco

Lascia un Commento