giovedì 18 agosto 2011

Tracciamento utenti non può essere eluso anche dopo rimozione cookie


I ricercatori dell'Università di Berkeley hanno scoperto che alcuni dei siti più popolari del web utilizzano un servizio di monitoraggio che non può essere evitato - anche quando gli utenti bloccano i cookie, disattivano la memorizzazione in Flash, o utilizzano la navigazione in "incognito" dei browser. Il servizio, chiamato KISSmetrics, viene utilizzato dai siti per tenere traccia del numero di visitatori, cosa i visitatori fanno sul sito, da dove vengono - e l'azienda dice di fare un lavoro più completo rispetto ai suoi concorrenti come Google Analytics

Ma i ricercatori dicono che il sito utilizza tecniche subdole per impedire opting out agli utenti di essere monitorati su siti popolari, tra cui il sito di streaming TV Hulu.com e di musica Spotify. La scoperta delle tecniche di monitoraggio KISSmetrics, ha indotto i regolatori federali, i produttori di browser, gli attivisti della privacy e le aziende di tracciamento a definire cosa sia effettivamente questo monitoraggio.  La FTC ha invitato i produttori di browser di aggiungere una cornice "Non Track" che consente agli utenti essenzialmente di essere lasciati in pace dai siti web - anche se non blocca il monitoraggio in sè. Una delle grandi questioni che circonda  Do Not Track riguarda il software di analisi web che determina quanto è popolare un dato sito, quanti sono i visitatori unici di un sito in un mese, da dove provengono gli utenti e quali pagine vengono sfogliate.


Spotify, uno dei clienti KISSmetrics indicato nel rapporto (che ha stretto recentemente accordo con Facebook), ha detto di essere preoccupato per la storia: "Prendiamo la privacy dei nostri utenti incredibilmente sul serio e siamo interessati da questo rapporto", ha detto una portavoce via e-mail. "Come risultato, abbiamo intrapreso un'azione immediata nel sospendere il nostro uso del KISSmetrics mentre si indaga sulla situazione". In risposta alle richieste di Wired.com, Hulu tagliato i legami con KISSmetrics Venerdì scorso. 

"Hulu ha sospeso l'uso del nostro servizio KISSmetrics in attesa di ulteriori indagini", ha detto un portavoce a Wired.com. "Hulu prende molto sul serio la tutela della privacy dei nostri utenti. Noi non abbiamo ulteriori commenti in questo momento". KISSmetrics è una start-up fondata nel 2008 composta da 17 persone e con sede nella San Francisco Bay Area. Il fondatore Shah Hitten ha confermato che la ricerca è stata corretta, ma ha detto a Wired.com che non vi è nulla di illegale sulle tecniche che sta usando. 

"Noi non lo facciamo per motivi dannosi. Noi non lo facciamo per tracciare le persone in tutto il web", ha detto Shah. Shah dice che KISSmetrics è utilizzato da migliaia di siti per tracciare gli utenti in arrivo, e non vendere o acquistare i dati relativi ai visitatori. Dopo la pubblicazione di questa storia, l'azienda ha twittato un link che spiega come funziona il suo tracciamento. Quindi, se un utente è arrivato su Hulu.com da un annuncio su Facebook, e poi, usando un altro browser sullo stesso computer, ha visitato Hulu.com da Google, e poi ad un certo punto sottoscritto il servizio premium, KISSmetrics sarebbe in grado di raccontare a Hulu tutto il percorso che l'utente ha fatto per l'acquisto (senza sapere chi sia quella persona). 

La pista di tracciamento resterebbe in vigore anche se un utente ha cancellato i suoi cookie, a causa di codice che memorizza l'ID univoco in luoghi diversi da un cookie tradizionale. La ricerca è stata pubblicata da un team di ricercatori sulla privacy dell'Università di Berkeley che include un veterano avvocato della privacy Chris Hoofnagle e dal ricercatore sulla privacy Ashkan Soltani. "La roba funziona anche se si dispone di tutti i cookie bloccati e private browsing mode abilitato", ha detto Soltani. 

"Il codice stesso è abbastanza schiacciante". I ricercatori hanno ripreso uno studio del 2009 che ha scoperto che alcuni dei più grandi siti della rete per la loro pubblicità hanno utilizzato la tecnologia di tracciamento di aziende come Clearspring e Quantcast, per ricreare i cookie degli utenti dopo che gli utenti li avevano cancellati. La tecnica coinvolta utilizza una proprietà poco conosciuta di Flash per tenere su un numero ID univoco. Poi, se un utente ha cancellato i suoi cookie, le società avrebbero provato nello stash secondario per individuare l'ID utente, e utilizzarlo per resuscitare i tradizionali cookie HTML.

Tale constatazione ha portato a richieste di informazioni dai regolatori e di una class action relativa al fatto che i siti web e le società di monitoraggio hanno ingiustamente monitorato gli utenti. Per questo Clearspring e Quantcast hanno pagato 2,4 milioni dollari in contanti e la promessa di non utilizzare quel metodo nuovamente. I ricercatori hanno scavato nel codice di Hulu.com, in seguito e hanno scoperto il codice KISSmetrics. Usandolo, Hulu sono stati in grado di tracciare gli utenti indipendentemente dal browser che viene utilizzato o se si cancellano i cookie. 

KISSmetrics ha usato un certo numero di metodi per ricreare i cookie, e il tracking persistente può essere evitato solo cancellando la cache delle visiste nel browser. Shah dice anche che la difesa del sistema che non viene usato per tenere traccia delle persone in tutto il web non regge. "Sia il codice Hulu e KISSmetrics è piuttosto illuminante", ha detto a Wired.com Soltani in una e-mail. "Questi servizi utilizzano praticamente tutti i metodi noti per aggirare l'utente che cerca di proteggere la propria privacy (cookie, i cookie Flash, HTML5, CSS, Cookies Cache / Etags ...) creando un gioco perpetuo di privacy "whack-a-mole". 

I numeri ID per tutti e tre i cookie sono gli stessi
I ricercatori indicano che la loro ricerca ha rilevato che quando un utente visita Hulu.com, si otterrebbe un set di cookie di "terze parti" da KISSmetrics con un numero ID di tracciamento. KISSmetrics passerebbe quel numero di Hulu, Hulu permette di usarlo per i propri cookie. Poi se un utente visita un altro sito che stava usando KISSmetrics, il cookie sdel ito otterrebbe pure l'esatto stesso numero. Nell'immagine fornita da Chris Hoofnagle dell'Univeristà  Berkeley, i numeri ID per tutti e tre i cookie sono esattamente gli stessi. 

In questo modo è possibile, dicono i ricercatori, per ogni due siti che utilizzano KISSmetrics di confrontare le proprie banche dati, e chiedere cose del tipo "Ehi, cosa ne sai dell'utente 345627?" E l'altro sito potrebbe dire "il suo nome è John Smith e il suo indirizzo e-mail è this@somefakedomainname.com e gli piace questo genere di cose". Shah non ha risposto ad un follow-up e-mail in cerca di chiarimenti sulle sue prime risposte. Una delle tecniche utilizzate comporta l'uso di ETags nella cache del browser, una tecnica-teorica una volta che non è mai stata vista prima in natura su un sito importante, secondo i ricercatori. 

La ricerca ha anche scoperto che molti siti web in alto hanno adottato nuovi modi per tracciare gli utenti tramite HTML5 e che i cookie di monitoraggio di Google sono presenti su 97 dei migliori siti, compresi i siti del governo, come IRS.gov. I ricercatori dicono che uno screenshot di un cookie cache del browser, non è mai stato visto prima in natura. L'attuale codice Flash/HTML5/Cache/Etags respawning usato da KISSmetrics su Hulu: codice , pastebin. Il rapporto completo dei ricercatori di Berkeley lo trovate a questa pagina.

Nessun commento:

Posta un commento