La Modalità Incognito non è poi così sicura

Se pensate che per tenere segrete le vostre abitudini nel web basti abilitare la modalità di navigazione in privato (il cosiddetto Incognito Mode), che ormai tutti i browser mettono a disposizione, preparatevi a un brusco risveglio.

All'ultima DefCon Conference due ricercatori, Svea Eckert e Andreas Dewes, hanno dimostrato come sia in realtà piuttosto semplice scoprire le peregrinazioni nel web - clic per clic - di pressoché qualsiasi, comune utente.

Eckert è una giornalista e Dewes è un esperto nell'analisi dei dati (un data scientist, come si usa dire). Insieme hanno dato vita a una falsa azienda di marketing, curando ogni dettaglio, dal sito web alle persone (false) che vi lavorano.

Poi hanno iniziato a chiedere il contributo di altre aziende. Con il pretesto di voler testare una nuova piattaforma per l'intelligenza artificiale, hanno iniziato a richiedere cronologie di navigazione "grezze".

Tali cronologie nascono da tutti quei programmi che chiedono agli utenti di partecipare inviando non meglio precisate «statistiche anonime», ai quali generalmente gli utenti aderiscono senza pensarci troppo.

Le statistiche comprendono tutti i siti visitati da un certo utente e tutti i link su cui questi ha fatto clic, un insieme di dati generalmente noto come clickstreaming.

Eckert e Dewes non hanno nemmeno dovuto faticare per ottenere i dati: erano disposti ad acquistarli, ma in moltissimi casi hanno scoperto che quanti ne sono in possesso li scambiano liberamente tra loro.

Si potrebbe obiettare che tutte queste informazioni sono però anonime, in quanto per il modo stesso in cui sono raccolte non hanno alcun collegamento con l'utente o col computer che le ha generate.

Ciò è vero, ma de-anonimizzarle è tutt'altro che difficile. Per esempio, quando nel clickstreaming c'è la visita alle statistiche di Twitter di un dato utente, ci sono ottime probabilità che i dati di quello stream appartengano a quella persona.

«Le informazioni pubblicamente disponibili sugli utenti sono in crescita continua, e perciò sta diventando semplice trovare le informazioni necessarie per procedere alle de-anonimizzazione» spiega Dewes.

Il 95% dei dati raccolti dai due proviene da 10 «estensioni popolari», spessissimo installate nei browser dagli utenti e altrettanto sovente usate dalle aziende per creare profili degli utenti stessi che legano le abitudini di navigazione alle identità reali.

Il tutto avviene con inquietante normalità anche se è attivato il cosiddetto Incognito Mode.

«Ciò che queste aziende stanno facendo è illegale in Europa, ma a loro non interessa» ha dichiarato Eckert, svelando come il loro sistema abbia permesso di entrare in possesso dei dati di navigazione di 3 milioni di cittadini tedeschi.

Una volta conclusa la ricerca, tutti i dati sono stati cancellati. Eckert e Dewes temevano infatti che qualcuno potesse rubare le informazioni raccolti, con grave danno per la privacy delle persone coinvolte.