Lo scraping (“raschiatura”) consiste nella sistematica raccolta e organizzazione di informazioni da una risorsa pubblica, generalmente un sito web. Di per sรฉ le informazioni non sono riservate, ma la loro raccolta e utilizzo contrario alle intenzioni degli individui che le hanno pubblicate – oltre a essere implicitamente illegittimo – si scontra con la nuova normativa europea (il notoย GDPR).
Il ricercatore di HackenProofย Bob Diachenko ha scoperto un database MongoDB scarsamente protetto contenente dati su oltre 66.147.856 persone, presumibilmente catturate con lo scraping di altrettanti profili LinkedIn. Un enorme “dossieraggio” su oltre 66 milioni di persone che contiene nome completo, indirizzo e-mail, numero di telefono, luogo di attivitร , settore lavorativo, competenze professionali, ruoli e datori di lavoro (presenti e passati) oltre all’IP di collegamento.
Il database era diviso in tre parti ospitate su IP diversi ed era facilmente accessibile da chiunque poichรฉ non protetto da un login.
Incidenti come questo riaprono il dibattito sulla riservatezza delle informazioni disseminate volontariamente dalle persone su siti e social network. Sicuramente nessuno degli utenti coinvolti aveva intenzione di consegnare indirizzo e-mail e numero di telefono a hacker o agenzie di marketing, ma sempre piรน spesso รจ lรฌ che vanno a finire.
Inoltre, diversi social network lasciano all’utente la possibilitร di diversificare la riservatezza di certe informazioni, ad esempio io posso decidere che il mio numero di telefono sia visibile solo ai miei contatti e non a tutto il mondo.
Questa blanda misura di sicurezza perรฒ รจ vanificata quando gli utenti accettano chiunque fra i loro contatti. Molte di queste “agenzie” infatti rilasciano bot all’interno dei social network, con profili ovviamente finti, per stringere contatto con piรน persone possibili.
Per fare un esempio, quello che segue รจ un maldestro tentativo di stringere amicizia col mio profilo Facebook avvenuto pochi giorni fa:
Quando sei Taylor Swift e hai il disperato bisogno di stringere amicizia con me su Facebook, ma preferisci farlo in incognito col tuo pseudonimo cinese. #fake #eppureabboccano pic.twitter.com/U5Hui9ItNE
— Luca Sambucci (@LucaSambucci) November 28, 2018
Non tutti riescono a riconoscere e ignorare tali bot, ed รจ sufficiente questa disattenzione per rendere pubblici dati che credevamo appannaggio solo di una ristretta cerchia di persone.
Su social network informali come Facebook รจ probabile che questi siano semplici tentativi di sextortionย (chat o videochat a sfondo sessuale con conseguente ricatto), mentre su network piรน professionali come LinkedIn l’obiettivo di un bot generalmente รจ quello di “mappare” la rete di persone con cui entra in contatto e fare scraping di piรน informazioni possibili.
Le informazioni cosรฌ raccolte possono poi essere usate in tantissimi modi, ad esempio per confezionare massicce campagne di phishing personalizzato: immaginate di ricevere un’offerta di lavoro esattamente nel settore in cui lavorate, magari da un’azienda nota, chi non darebbe una rapida occhiata al link contenuto nel messaggio?
Un modo per difendersi completamente non c’รจ, visto che queste sono informazioni che le persone inseriscono volontariamente online. Per mitigare il rischio perรฒ basterebbe essere consapevoli che qualsiasi dato inserito online รจ sempreย a rischio di furto, e qualsiasi informazione disseminata sui social media potenzialmente aperta a tutti.