Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Le petizioni online spesso espongono dati personali degli utenti a rischi concreti, creando dei database pubblici che sono vulnerabili a phishing e social engineering. Molti dei partecipanti inseriscono le loro informazioni personali senza leggere privacy policy, ignorando come potrebbero essere utilizzati i dati. Questo comportamento, compromette la "cyber hygiene" e può facilitare attacchi mirati. Il problema, riguarda sia gli utenti sia le organizzazioni, spesso inconsapevoli nella gestione della sicurezza in conformità normativa.
Partecipare ad una petizione online può sembrare un gesto nobile. Talvolta, è virtue signaling. Talatra è fatta con la volontà di contribuire a dare un segnale o cambiare le cose. Ma a che prezzo?
Semplice: quello dei propri dati personali che vengono raccolti in modo più o meno sbarazzino da chi probabilmente ha a cura la privacy dei partecipanti solo nello statement della policy della piattaforma impiegata. O neanche lì, giusto per evitare facili ipocrisie.
Con l’effetto di contribuire alla creazione di un ennesimo database online le cui sorti sono particolarmente incerte, sia dal punto di vista della liceità che della sicurezza. Incertezza che si supererebbe cercando maggiori informazioni, ma l’entusiasmo della partecipazione al fuoco sacro della (presunta) democrazia online spesso fa skippare alla grande la lettura di ToS e privacy policy. Sempre che siano presenti, ovviamente…
Brutalmente, potremmo dire: chi l’ha scritta, qualche appassionato (che forse farà reclamo), il Garante Privacy (in virtù dello step precedente). In realtà forse la legge qualche persona in più, ma il problema è che non la leggono tutti o quasi tutti i partecipanti alla petizione online. E quindi si inseriscono dei propri dati (di contatto) all’interno di una lista senza farsi troppe domande né cercare di capire se si sta venendo scammati. E quanto.
Una privacy policy deve spiegare in modo chiaro e comprensibile le sorti dei propri dati personali una volta immessi in quell’elenco: chi li utilizzerà e come, per quanto tempo e a chi verranno comunicati. Dopodiché ci si potrebbe anche domandare se sia proprio proprio necessario mantenere l’elenco pubblico con tanto di nominativi, CF e indirizzi email esposti. Ça va sans dire, è qualcosa su cui pretendere qualche risposta da parte degli organizzatori.
Dopodiché ci sono anche i ToS, che ovviamente non possono derogare norme imperative ma spesso ci provano in ogni modo cavalcando l’onda depensante del “la piattaforma è mia ci faccio quel che voglio io”, con buona pace della gerarchia delle fonti e di ogni più elementare principio di diritto. E questo vale anche se la piattaforma ha sede legale al di fuori dell’Unione Europea, dal momento che è comunque tenuta a rispettare la normativa in materia di protezione dei dati personali (e non solo) sia nazionale che europea.
Non leggere una privacy policy, o i ToS, non comporta accettare ogni attività svolta sui propri dati personali o ogni esposizione al rischio. Però, di fatto, sposta la tutela ad un momento successivo e rimediale e non consente di adottare cautele preventive. Quali, ad esempio, la richiesta di spiegazioni e soprattutto il non inserire in modo troppo sbarazzino – o in modalità total blind – i propri dati personali.
Figuriamoci poi se si partecipa a una petizione fatta “alla buona” con condivisione di un file in cui inserire liberamente i propri dati…
Inserire i propri dati all’interno di una petizione online rientra fra quei comportamenti che afferiscono al campo della cyber hygiene per cui si richiede particolare attenzione e cautela. Se non si sa dove andranno a finire i propri dati personali, e per cosa saranno impiegati, si sta agendo o nella convinzione che il mondo online sia popolato esclusivamente da buone persone di chiari intenti e ancor migliori condotte, o altrimenti che sia un’operazione a rischio zero o quasi. Perché, in fondo – e ce lo ripetono negazionisti della privacy anche di chiara fama oltre che ignoranza – non sono mica segreti di Stato, o informazioni da tenere nascoste. Evitando di affrontare il tema della protezione delle informazioni, connotato da ben maggiore complessità rispetto alla riduzione che viene spesso sbandierata e identifica la privacy come una sorte di nascondino delle informazioni (peraltro, risalente al concetto limitato di privacy as secrecy).
Orbene, quali vogliamo che siano i rischi di contribuire alla formazione di un database online di contatti pubblico e consultabile da chiunque? Se non esistessero cose come phishing, attacchi di password guessing, o altri database da correlare potremmo dire che i rischi comunque sussisterebbero ma richiederebbero quanto meno uno sforzo intellettuale per individuarli. Ma poiché viviamo nel mondo reale, i rischi esistono ed espongono tutti i partecipanti alla petizione a attacchi fondati sull’aver reso disponibili non solo i propri dati di contatto ma anche un interesse comune (ovverosia: l’oggetto della petizione). E questo ultimo ingrediente è ottimo per un ingegnere sociale, che non dovrà neanche scommettere più di tanto sul tema della leva da impiegare, potendosi sbizzarrire più sulle variazioni di attacco che potrà porre in essere.
Tutto questo dovrebbe essere terribilmente chiaro sia a chi partecipa e, molto più, a chi organizza una petizione online. Dovrebbe. Ma così non è. Motivo per cui continuano a circolare vere e proprie “trappole” per i dati personali, confezionati con le migliori intenzioni di qualche petizione online pur di particolare valore.
