Qual è la seccatura più grande quando ci iscriviamo a una nuova piattaforma o a un servizio online? Esatto, completare tutta la procedura di registrazione. Dover quindi inserire un nickname, una password, indirizzi, contatti e così via. Da tempo questo processo è stato semplificato dal cosiddetto social login, che permette di utilizzare le credenziali de vari Facebook, Twitter o Google per effettuare il login. Tra le varie opzioni, Facebook è una delle preferite: con un semplice click potremo accedere a tutti i principali servizi e applicazioni presenti in Rete semplicemente associando la nostra identità sul famoso social media di Mark Zuckerberg.
Con l'API di Facebook, infatti, si possono trasferire le informazioni del nostro profilo su altre piattaforme nel giro di pochi secondi. Nel caso non si voglia seguire la procedura di iscrizione su Spotify, Airbnb oppure Tinder, basterà cliccare sul pulsante di Facebook sotto il modulo di iscrizione e attendere il caricamento della pagina: il profilo verrà creato automaticamente grazie ai dati di Facebook. Un'operazione semplice e immediata che, però, non è affatto esente da rischi: se non si fa attenzione, si può mettere a serio repentaglio la nostra privacy online. Soprattutto se usiamo il login con Facebook su siti poco affidabili, manomessi da cybercriminali o che fanno tracking.
In quest'ultimo caso, i gestori dei siti potrebbero monitorare tutte le nostre azioni online, dai file che scarichiamo sino alle credenziali che si utilizzano per collegarsi ai profili web. Le informazioni più importanti, però, sono altre: grazie al tracking si possono recuperare dati sulle nostre abitudini e preferenze, permettendo così alle aziende di creare un nostro profilo commerciale. Un qualcosa di analogo, ad esempio, è accaduto nel caso Cambridge Analytica, che ha costretto Facebook a rivedere la sua policy di utilizzo e trattamento dati. I rischi di utilizzare le credenziali Facebook per il social login, sono molteplici.
Login con Facebook e pericoli per la privacy
Una ricerca condotta dall'Università di Princeton, negli Stati Uniti, ha dimostrato che quando gli utenti utilizzano il social login e concedono l'autorizzazione, a un sito web o a un'applicazione, di accedere al proprio profilo Facebook anche i tracker di terze parti incorporati nel sito o nell'app ottengono questi dati. Ovviamente tutto all'insaputa dell'utente. Quali sono i dati che possiamo lasciare in Rete eseguendo il login con Facebook? Su tutti il nostro nome utente, ma anche la nostra età e la data di nascita (se le abbiamo registrate su Facebook). Anche l'indirizzo email può essere facilmente registrato tramite il tracking del nostro profilo Facebook. Questo sistema di monitoraggio, secondo i numeri della ricerca, è utilizzato nei primi 434 siti più visitati in Internet.
Come agisce il tracking
Nella stragrande maggioranza dei casi, i tracker analizzati dagli studiosi della Princeton University creavano un ID utente univoco per ogni persona iscritta al sito. Sfruttando le API di Facebook, è possibile creare un collegamento tra l'ID del sito e il profilo social dell'utente. In questo modo, i gestori del portale sono in grado di recuperare informazioni personali e collegarle ai dati commerciali frutto della navigazione online. Com'è facile intuire, si tratta di un'evidente minaccia per la privacy degli utenti, che possono ritrovarsi "schedati" e profilati senza saperne nulla e senza aver fatto nulla di particolare.
Quali script e siti fanno tracking
I ricercatori di Princeton hanno identificato sette diversi script che sono in grado di estrarre informazioni dall'API della funzione login con Facebook. Uno di questi script non è stato rintracciabile ma tutti gli altri sono stati fatti risalire a delle società, Lytics, ProPS, Tealium, Forter e OnAudience, di marketing. OnAudience si è però difesa dicendo che il proprio sistema di tracciamento non è più in uso a seguito di un problema con la privacy degli utenti già riscontrato in passato.
Ma nello specifico cosa fanno queste aziende? Tutte creano software e strumenti di tracking online che i siti Internet possono utilizzare, a pagamento, per scoprire informazioni sui loro clienti. Quasi tutte le aziende si sono difese dicendo che le informazioni non venivano raccolte se non in forma anonima e che ogni singolo dato veniva utilizzato esclusivamente dalle imprese e non lasciato a disposizione di chiunque sul web. Che è invece quello che fanno le finte applicazioni di test e quiz divertenti. Su Facebook e online è pieno di questo tipo di app: scopri che animale saresti, oppure che stella del cinema sei, e così via. Molte di queste piattaforme altro non sono che uno strumento usato dagli hacker per raccogliere informazioni sugli utenti e poi rivenderle nel dark web. Un esempio, la società per la cybersecurity Cambridge Analytica ha scoperto che sui forum usati dagli hacker si trovano in vendita circa 87 milioni d'informazioni condivise dagli utenti Facebook attraverso questo genere di quiz e applicazioni.
La decisione di Facebook
Facebook è stato informato del problema di privacy legato al servizio di login con il profilo dell'utente. Per questo il social media ha deciso che lo strumento verrà cambiato per garantire una maggiore sicurezza alle persone ed eliminare i rischi del tracking. In futuro il social potrebbe anche permettere un login anonimo tramite Facebook. In pratica la stessa API di oggi senza però l'associazione delle nostre informazioni più riservate.
6 maggio 2018