Migliaia di aziende rubano i dati personali associati alla pubblicità online e li rivendono a governi e altre organizzazioni per scopi di sorveglianza. Scopri di più!

Prima che scoppiasse lo scandalo, l’azienda di sicurezza israeliana ISA Security (non inseriamo un link perché il sito non è sicuro) utilizzava un software chiamato Patternz per sfruttare il sistema delle offerte in tempo reale su cui si basa la pubblicità online per monitorare le persone che visualizzavano gli annunci. Con questo stratagemma, Patternz raccoglieva dati personali e comportamentali dettagliati su 5 miliardi di utenti di siti e app. E poi li rivendeva a governi e altre aziende per scopi di analisi e sorveglianza di massa.

Le informazioni erano accessibili pubblicamente sul sito di ISA Security. Che poi le ha rimosse, e arricchite con una spiegazione dettagliata in un video del CEO dell’azienda, anche questo rimosso da YouTube. La notizia è stata pubblicata da 404 media; immediatamente, l’azienda ha cercato di cancellare le tracce di Patternz e Google ne ha bloccato l’account come misura cautelare, mentre gli organismi internazionali svolgeranno le dovute indagini.

In questo post parliamo di Patternz, degli spyware che sfruttano le reti pubblicitarie e di come proteggere i propri dati personali e impedire che vengano raccolti senza consenso. Buona lettura!

È una vera e propria crisi della privacy e della sicurezza internazionale. Perché coinvolge milioni di persone e sfrutta un sistema su cui si basa quasi tutta la pubblicità online.

Cos’è Patternz e come funziona

Patternz è un software che raccoglie una lunga serie di dati personali associati agli utenti degli smartphone quando queste persone visualizzano un annuncio pubblicitario sul proprio cellulare. Era prodotto dall’azienda di sicurezza e sorveglianza ISA Security, con sede in Israele, e questa era la parte superiore della pagina di Patternz prima che l’azienda la rimuovesse (ora consultabile tramite Internet Archive, il servizio che archivia pagine web per costruire una memoria collettiva):

Fonte: Internet Archive (www.web.archive.org)
Fonte: Internet Archive (www.web.archive.org)

 

Patternz sfruttava il Real Time Bidding, ovvero le offerte in tempo reale su cui si basano le reti pubblicitarie online come quella di Google. Ecco come funzionano:

  1. Una persona visita un sito su cui il proprietario ha creato uno spazio pubblicitario.
  2. In base alle caratteristiche della persona (raccolte finora con i cookie di terze parti) il sito invia una richiesta a Google di organizzare un’asta pubblicitaria, a cui partecipano vari inserzionisti.
  3. L’inserzionista più pertinente al profilo dell’utente e che offre di più si aggiudica lo spazio e invia il suo annuncio. Che viene visualizzato dalla persona (tutto questo in questione di millisecondi!).
  4. Quando si tiene un’asta in tempo reale, si generano informazioni sull’utente e sul suo dispositivo che possono essere molto dettagliate e che Patternz riusciva a raccogliere. Di seguito un breve elenco dalla pagina di Patternz con un’immagine del programma.
Fonte: Internet Archive (www.web.archive.org)
Fonte: Internet Archive (www.web.archive.org)

In questo modo, Patternz era in grado di rubare, analizzare, organizzare centinaia di informazioni precisissime per rivenderle principalmente ad agenzie governative per scopi di sorveglianza.

LEGGI ANCHE: I 18 migliori motori di ricerca privati

Lo scandalo di Patternz

Per prima cosa, l’azienda ha subito cancellato tutte le tracce di Patternz, anche se alcune, come le immagini qui sopra, sono ancora visibili. Inoltre, ha rimosso un video in cui il spiegava tutte le funzionalità di Patternz e in cui, ad esempio, diceva di riuscire ad analizzare il comportamento e i dati personali degli utenti di oltre 600.000 app, che includono anche quelli dei loro figli, dei colleghi di lavoro e perfino i loro spostamenti in auto.

Ora viene la brutta notizia (quella veramente brutta): ISA security è solo una delle migliaia di aziende che ricevono i dati personali trasmessi durante le offerte in tempo reale e che li utilizzano per vari scopi, tutti ai limiti o oltre i limiti della legalità.

Su questo argomento, il Concilio Irlandese per le Libertà Civili ha condotto un’indagine e ha pubblicato un report completissimo in inglese, di cui vi riportiamo alcune cifre:

  • Secondo la documentazione di Google, 1102 aziende ricevono dati dalle offerte di Google in Europa (e molte di più dalle sue offerte negli Stati Uniti).
  • Microsoft dice che 1647 aziende potrebbero ricevere i dati RTB (real time bidding) dalle sue offerte. Meta, Amazon e altri senza dubbio fanno lo stesso.
  • I dati RTB sono trasmessi senza alcuna misura di sicurezza. Dopo la trasmissione, non c’è modo di sapere o limitare come le entità riceventi gestiscano questi dati. La documentazione del settore conferma “non c’è modo tecnico di limitare il modo in cui i dati vengono utilizzati” dopo la trasmissione. Questo dato è stato confermato da 27 autorità di vigilanza sulla protezione dei dati dell’UE e dal Regno Unito.
  • Le trasmissioni di dati RTB rivelano informazioni altamente sensibili sulle persone, inclusa la posizione e i movimenti nel tempo, cosa stanno leggendo, guardando o ascoltando, interessi sessuali e problemi personali.
  • Questo problema di sicurezza non riguarda solo i diretti interessati, ma anche le loro famiglie e i colleghi.
  • Google gestisce la più grande borsa pubblicitaria RTB. I dati del settore mostrano che è responsabile del 21% delle trasmissioni RTB dei dati dell’UE. Il sistema RTB di Google è attivo su 15,6 milioni di siti web e milioni di app.
  • Il problema di sicurezza del RTB è evidente almeno dal 2017. Quando alcuni ricercatori hanno dimostrato che con solo 1000 dollari potevano tracciare i movimenti fisici delle persone prese di mira.
  • Questa falla di sicurezza consente di prendere di mira specifici leader e personale dell’UE. E scavare nei dati RTB alla ricerca di informazioni sulle loro condizioni finanziarie, stato mentale e segreti intimi compromettenti. Ciò espone le istituzioni e i settori più sensibili dell’Europa a hacking, ricatti e violazioni della privacy.

Per maggiori informazioni, ti consigliamo di scaricare il report completo dal sito del ICCL (il sito è sicuro). Riassumendo molto: non si tratta di un singolo incidente, ma di una vera e propria crisi della privacy e della sicurezza internazionale, perché coinvolge milioni di persone tutti i giorni e sfrutta un sistema su cui si basa quasi tutta la pubblicità online.

Serve una legge che risolva il problema alla radice. Nel frattempo, tutti dovrebbero utilizzare un ad blocker, che impedisce il caricamento degli spazi pubblicitari sui siti.

Soluzione alla crisi della privacy

Risolvere questo problema sarebbe piuttosto semplice: Google e le altre grandi piattaforme pubblicitarie devono interrompere la trasmissione di dati personali durante le aste pubblicitarie con le offerte in tempo reale.

Purtroppo, è più facile a dirsi che a farsi, perché la pubblicità online è un business multimiliardario, ma soprattutto perché la disponibilità di questi dati interessa ai governi di tutto il mondo, in particolar modo a quelli che non hanno leggi sulla privacy efficaci.

Per questo, piuttosto che chiedere alle Big Tech l’ennesimo sforzo di autoregolamentazione, L’Europa e gli stati membri dovrebbero promulgare leggi specifiche per impedire queste pratiche illegali.

Come proteggere i propri dati personali da Patternz e programmi simili

La prima cosa da fare è usare un programma di ad blocking. Bloccando gli annunci, il browser non può inviare dati alla piattaforma pubblicitaria, perché gli spazi non vengono neanche visualizzati. In questo modo, il problema può essere risolto alla radice.

Purtroppo, però, non è sempre facile bloccare gli annunci. Molti siti non consentono di usare un ad blocker e nelle app o nei video è veramente complicato bloccare la pubblicità.

Un altro metodo efficace è utilizzare una VPN, una rete privata virtuale che indirizza il traffico tramite un server che si trova in un altro paese, crittografando e anonimizzando i dati di chi la usa.

I dati personali raccolti da Patternz e programmi simili possono essere utilizzati anche da organizzazioni con scopi criminali. Che li sfruttano per ricostruire i dati di accesso a reti aziendali e account online. Per questo, è necessario proteggere al massimo questi accessi, tramite:

  • autenticazione multifattoriale
  • passkey
  • password complesse
  • aggiornamento periodico di programmi e sistemi operativi per ridurre al minimo le vulnerabilità informatiche.

Infine, sempre per lo stesso motivo, è importante installare un buon antivirus, che impedisce l’esecuzione di codice dannoso e ti avvisa quando stai per fare qualcosa di poco sicuro online.

In questo post abbiamo visto cos’è Patternz e come sfrutta il sistema degli annunci online per rubare dati personali e costruire profili dettagliati da rivendere a governi e organizzazioni private. Abbiamo anche visto che l’istituto irlandese ICCL ha condotto una minuziosa indagine su questo argomento, portandolo all’attenzione della Commissione europea e delle agenzie per la cybersicurezza, dato che non si tratta di un episodio isolato, ma di una vera e propria crisi di sicurezza globale.

CONTINUA A LEGGERE: Sondaggio di cybersecurity, il 70% delle persone condivide i propri dati senza pensare alle conseguenze

Buona navigazione e attenzione alla pubblicità online!