Come le aziende raccolgono legalmente i tuoi dati e come fermarli

Pubblicato aggiornato
Cover image for: Come le aziende raccolgono legalmente i tuoi dati e come fermarli

Nel 2018 è stato scoperto che Cambridge Analytica aveva raccolto i dati di almeno 87 milioni di utenti di Facebook a loro insaputa , dopo averli ottenuti tramite alcune migliaia di account che avevano utilizzato un'app di quiz.

La raccolta di dati online è insidiosa e continua. Oggi è possibile raccogliere più dati che mai: le persone creano tanti dati ogni due giorni come hanno fatto dall'inizio del tempo fino al 2000 . Se considerati su questa scala, i dati personali potrebbero sembrare innocui.

Aziende come Facebook, Google e Amazon hanno pagato importi straordinari in multe e riscontri reputazionali per ottenere l'accesso a questo tipo di dati preziosi. I dati raccolti da Facebook tramite l'uso di programmi come Onavo e Facebook Research (che hanno pagato agli adolescenti e ad altri per l' accesso quasi illimitato ai loro dati ) hanno portato alla scoperta che WhatsApp è stato utilizzato più del doppio delle volte rispetto a Messenger, dando a Facebook l'impulso all'acquisto WhatsApp nel 2014. Questo si è rivelato estremamente prezioso .

In realtà, la protezione dei dati non è qualcosa che i consumatori possono fidarsi di tutte le aziende. Invece, la protezione dei dati richiede un approccio proattivo. Questo articolo ha lo scopo di aiutarti a proteggere i tuoi dati rendendoti consapevole di come i tuoi dati sono vulnerabili. Concludiamo con alcuni suggerimenti su cosa puoi fare per proteggere i tuoi dati.

Fai attenzione ai modelli scuri

Molti utenti di Onavo probabilmente non erano a conoscenza del fatto che molti dei loro dati fossero accessibili e che questi dati sarebbero stati utilizzati da Facebook . Onavo ha richiesto le autorizzazioni di root per i telefoni degli utenti e l'accesso VPN ai computer, consentendo a Facebook un accesso intimo ai dati degli utenti. Messaggi privati su app di social media; chat da app di messaggistica istantanea (incluse foto e video inviati in queste chat); messaggi di posta elettronica; cronologia di navigazione in Internet; e le informazioni sulla posizione erano tutte accessibili a Facebook utilizzando Onavo.

Naturalmente, per consentire alle app e ai siti Web di ottenere legalmente l'accesso a questi dati, devono prima ottenere l'autorizzazione da parte dell'utente. Se le aziende chiedessero tale autorizzazione apertamente ed esplicitamente, gli utenti sarebbero più propensi a rifiutare queste richieste. Di conseguenza, molte aziende fanno uso di complessi labirinti di "modelli oscuri" per ottenere in modo accorto e legale l'accesso ai dati degli utenti.

I modelli scuri vengono utilizzati perché ottengono risultati. È più probabile che gli utenti concedano autorizzazioni alle aziende se una o più delle seguenti condizioni sono vere:

un. L'utente ritiene che non vi siano altre alternative o che la concessione dell'autorizzazione sia la via più rapida e semplice.

Le aziende spesso rendono difficile per l'utente evitare di concedere l'accesso, rendendo i passaggi per negare l'accesso durante la registrazione non chiari e complicati. Questo metodo di "scarafaggio motel" per ottenere le autorizzazioni può essere visto nel percorso tristemente complicato che LinkedIn ha richiesto agli utenti di intraprendere per negare alla società l'accesso al proprio elenco di contatti.

La rimozione dell'accesso già concesso è spesso più complicata della concessione dell'accesso in primo luogo. Le impostazioni delle autorizzazioni per il tracciamento dei dati o dei cookie non si trovano spesso nelle aree previste (ad esempio la sezione "Privacy"). Formulazioni fuorvianti o azioni insolite possono anche essere usate per creare confusione. Ad esempio, agli utenti potrebbe essere richiesto di spuntare una casella per "annullare" la concessione di autorizzazioni.

Send me details or do not send me details?
Inviami dettagli o non inviami dettagli?

b. L'utente non è a conoscenza del fatto che sta concedendo l'accesso

La concessione delle autorizzazioni viene spesso assegnata a un altro passaggio più evidente, come la creazione di una password. L'uso di questo metodo può rendere gli utenti meno propensi a identificare di aver accettato determinate autorizzazioni per i dati. L'uso della stampa a caratteri piccoli aumenta anche la probabilità che tali accordi possano essere trascurati.

Set a password and sign up for offers?
Impostare una password e iscriversi alle offerte?

c. L'utente si sente costretto ad agire rapidamente

Questo di solito si ottiene con una delle tre tattiche di pressione:

  1. Creare un senso di scarsità. Booking.com spesso afferma erroneamente di avere solo " 1 camera rimasta " per tentare di prenotare rapidamente il tuo soggiorno.
  2. Presentazione della pressione del tempo. Conosciamo questa tattica quando acquistiamo determinati articoli, come voli e biglietti: le compagnie di prenotazione fissano un limite di tempo per gli articoli nel carrello. Le aziende possono utilizzare tattiche simili anche per ottenere l'autorizzazione dai tuoi dati.Facebook sembrava usare punti di notifica rossi falsiche è apparso quando agli utenti è stato chiesto di accettare nuovi accordi sulla privacy, forse per tentare l'utente a concordare in fretta per leggere i loro messaggi.
  3. Ricorrere a tattiche spaventose. Ecco quii termini utilizzati da Facebookquando si richiede l'accesso ai dati di riconoscimento facciale: "Se il riconoscimento facciale viene disattivato, non saremo in grado di utilizzare questa tecnologia se uno sconosciuto utilizza la tua foto per impersonarti."Sfortunatamente, le tattiche di spavento sono onnipresenti nella raccolta dei dati, poiché la distinzione tra coloro che accedono ai dati per proteggerli, quelli che intendono assorbirli è sfocata.

Perversamente, 3 delle 10 euristiche dell'usabilità di Jakob Nielson, create per promuovere la comprensione da parte degli utenti dei sistemi online, sono spesso sovvertite da modelli scuri progettati per promuovere la confusione e le decisioni avventate, e questo, insieme a colori guida e layout che suggeriscono gli elementi corretti da cliccare (evidenziati sezioni, pulsanti verdi), rendono più probabile agli utenti di seguire un percorso predeterminato indicato da coloro che desiderano accedere ai dati personali.

Anche quando le leggi sono indiscutibilmente infrante, la punizione spesso non è abbastanza significativa da agire come un deterrente serio. Le grandi aziende tecnologiche che violano le leggi sono in genere punite con multe, come $ 170 milioni di Google pagati a fine 2019 dopo che è stato accertato che YouTube aveva violato la legge sulla protezione della privacy online (COPPA) del 1998. Sebbene questa sia senza dubbio una grande somma, graffia a malapena la superficie dei profitti dell'azienda , mettendo in discussione l'efficacia di tali sanzioni per le colossali società tecnologiche.

La crittografia non è infallibile

Se usi un iPhone e non giochi con le tue impostazioni, molti dei tuoi dati sono già crittografati. Grande! La crittografia significa inafferrabile, giusto? Beh, in un certo senso. I computer teoricamente potenti in futuro saranno in grado di decrittografare i dati crittografati, anche se è probabile che trascorrano centinaia di anni (e dovrebbero avere accesso ai dati crittografati).

Solo perché i tuoi dati sono crittografati non significa che sia sempre sicuro. Considera, ad esempio, diversi approcci alla crittografia. La crittografia "end-to-end" è il gold standard, in quanto significa che i dati sono crittografati su entrambe le estremità della comunicazione e anche in transito. Tuttavia, molti servizi crittografano i dati solo in alcune situazioni, e non necessariamente quando sono alla fine dell'azienda o "a riposo" sul dispositivo.

In effetti, molti dati personali non sono sempre completamente crittografati. Il tuo browser potrebbe dirti che una connessione a un sito o servizio è sicura, ma ciò non significa che il servizio sottostante sia sicuro. Gmail ed Evernote sono esempi di prodotti che utilizzano la crittografia, ma non sono crittografati end-to-end, il che è ciò che ha permesso a Google di leggere i messaggi degli utenti . (Vale la pena notare che Google ha messo in atto molte garanzie da allora, ma la pratica si verifica ancora .)

In alcuni casi, le aziende possono trasmettere dati che ritieni siano completamente crittografati ad altre società. Se utilizzi un'app di posta elettronica di terze parti, potrebbe avere accesso anche ai tuoi dati. Google consente alle app di terze parti di accedere ai tuoi dati e-mail , il che significa che qualsiasi app di terze parti con pieno accesso ai tuoi dati può leggere legalmente anche le tue e-mail, senza richiedere specificamente l'accesso da parte tua .

Le registrazioni da altoparlanti intelligenti, come Alexa di Amazon, vengono crittografate durante il transito , ma non vengono effettivamente crittografate quando raggiungono il cloud di Amazon, consentendo a un cliente di inviare 1.700 file audio ottenuti da Alexa di un altro utente .

Salvaguardia delle chiavi di crittografia

È possibile crittografare i dati in modo da renderli completamente sicuri. Se un'azienda archivia i dati crittografati con una chiave a cui solo l'utente finale ha accesso, la società e chiunque non disponga della chiave non avrà modo di decrittografare i dati. Se non c'è modo di accedere a tali dati, tutte le cose che altrimenti richiederebbero garanzie andranno via: la società non può essere acquistata e cambiare la sua politica, non può scivolare e perdere dati, e non può condividere i dati .

I backup di iCloud di iPhone e iPad - ampiamente ritenuti ben protetti - non sono completamente inaccessibili agli altri, poiché Apple conserva una chiave per decrittografarli Questa è stata una decisione consapevole presa da Apple, probabilmente presa al fine di impedire ai clienti di essere bloccati permanentemente dei loro dati ( esploriamo questi compromessi qui ), o fatti a seguito delle pressioni dell'FBI .

Mentre i backup di iCloud sono vulnerabili, altri dati sensibili come Health, portachiavi iCloud e password sono completamente crittografati end-to-end con una chiave che Apple non detiene, quindi non è possibile accedere a queste informazioni da remoto. Sebbene ciò non si applichi a tutti i dati dei negozi Apple, la sicurezza end-to-end senza archiviazione chiave centrale è questo uno dei punti di vendita unici di Apple .

Apple fornisce un framework chiamato "CloudKit" su cui gli sviluppatori di app possono basarsi e i dati archiviati in CloudKit sono crittografati end-to-end. Un esempio di utilizzo da parte di uno sviluppatore è Bear , un'app per prendere appunti. Poiché Bear utilizza la tecnologia Apple per l'archiviazione dei dati, anche i programmatori di Bear stessi non possono accedere ai tuoi dati , e nemmeno Apple. Solo il proprietario dei dati può farlo.

Costruire sistemi come questo richiede cautela ed è facile che errori innocui minino l'efficacia della crittografia. Il servizio "Messaggi in iCloud" di Apple soffre di questo: Apple non detiene esplicitamente la chiave di questi dati, ma una copia della chiave può essere inclusa nel backup iCloud di un utente e Apple detiene le chiavi. Pertanto un servizio può fornire la chiave per sbloccarne un altro.

Non tutte le app su Google Play sono sicure

Le app disponibili sull'App Store di Apple tendono ad essere sicure, in quanto Apple le esamina scrupolosamente prima di essere autorizzate al download. Questo è spesso visto come un deterrente per gli sviluppatori di app, in quanto ottenere un'app su App Store può richiedere molto più tempo e denaro rispetto all'ottenere un'app su Google Play . La ragione di ciò è che Google Play ha un processo di revisione delle app molto meno rigoroso. Questo può essere positivo per gli sviluppatori, ma è dannoso per i consumatori, in quanto rende più probabile che le app non sicure - e persino dannose - arrivino sul Google Play Store. Quando le dimensioni del data mining di Facebook Research e Onavo sono venute alla luce, Apple ha immediatamente estratto l'app dal suo App Store, mentre Onavo ha continuato a essere disponibile tramite Google Play alcune settimane dopo, fino a quando non è stato rimosso da Facebook.

Nell'aprile 2018, un rapporto di Sophos Labs ha esaminato 200 app su Google Play e ha concluso che oltre il 50% di tutte le app antivirus gratuite disponibili sul servizio potrebbe essere classificato come "rogueware". Il rapporto rileva che alcune app sono state scaricate da 300 a 400 milioni di volte e mette in guardia gli utenti Android dal download di app antivirus gratuite dal Google Play Store.

Mentre l'obiettivo principale della maggior parte di queste app dannose era quello di indurre gli utenti a credere di avere virus che avrebbero richiesto il pagamento per la rimozione (alcune app sembravano scaricare un virus, convalidando la loro richiesta), molte hanno anche richiesto l'accesso a una serie di dati sensibili permessi. Le autorizzazioni richieste da tali app andavano spesso al di là dell'ambito delle funzioni di cui avrebbe bisogno un'app antivirus tipica , come l'accesso alla posizione, l'accesso alla telecamera e l'accesso al telefono dell'utente a loro insaputa.

Da quando è stato pubblicato il rapporto Sophos Labs, Google ha compiuto sforzi per proteggere il proprio app store. Nel novembre 2019, la società ha messo insieme l' App Defense Defiance con tre aziende antivirus - ESET, Lookout e Zimperium - nel tentativo di eliminare la presenza di app dannose dal Google Play Store. Non è chiaro, tuttavia, che App Defense Alliance si occuperà anche della protezione dei dati degli utenti.

Il software antivirus non offre sempre protezione

L'uso di software antivirus di terze parti si è ridotto nell'ultimo decennio a causa di tre fattori:

  1. Gli utenti archiviano sempre più i loro dati sul cloud, di solito in uno stato crittografato, piuttosto che localmente su computer che potrebbero altrimenti trarre vantaggio dal software antivirus.
  2. Proporzionalmente più dati sono sugli smartphone, che tendono ad avere controlli e normative integrati più rigorosi sulla sicurezza rispetto ai computer.
  3. I moderni sistemi operativi includono la protezione antivirus di serie (come Mac Gatekeeper o Microsoft Defender).

L'uso in declino del software antivirus di terze parti ha lasciato queste società in una situazione difficile, portando a fusioni di antivirus e sforzi per ruotare in altre sfere per rimanere a galla . Dato che al software antivirus viene generalmente concesso un ampio accesso ai dati memorizzati sui computer (un passaggio necessario se il software deve identificare i malware archiviati in qualsiasi punto del computer), a queste aziende viene concesso l'accesso a molti dati sensibili. Il software antivirus è stato utilizzato con successo come strumento di spionaggio nel backdoor grazie al suo notevole accesso ai dati.

Quasi tutte le società antivirus pubblicizzate oggi hanno sede in paesi con leggi sulla protezione dei dati deboli o che utilizzano società di shell per apparire diversamente. Non in Europa o negli Stati Uniti? Nessun Data Protection Act (britannico), nessun GDPR (Europa) e nessun SafeHarbor (Stati Uniti). Ciò rende facile per queste aziende trovare metodi aggiuntivi per acquisire valore dai dati degli utenti.

La posizione di queste aziende favorisce la loro transizione verso l'offerta di VPN insieme al loro tipico software antivirus. Le VPN incanalano tutti i dati di un utente attraverso una terza parte. Ciò può essere sensato, in quanto sposta il traffico Internet di un utente in un percorso che può evitare alcune autorità, ma mette tali dati nelle mani di società private e sconosciute. Un gran numero di VPN popolari hanno sede in Cina o sono di proprietà cinese, il che, considerando che le VPN sono ufficialmente vietate in Cina , può indicare che ci sono buone domande da porre sulla sicurezza di questi dati.

Le VPN sono aggressive nella pubblicità e nel marketing, utilizzano sempre più YouTuber per la pubblicità a pagamento e Google sta affogando nei siti che guadagnano commissioni di affiliazione per promuovere le VPN, nella misura in cui è quasi impossibile trovare recensioni o editoriali autentici. Questo sembra improbabile che cambi. Se tu fossi un nuovo concorrente e volessi costruire un prodotto eccellente e gestirlo in modo etico, non entreresti in competizione con disperate compagnie AV offshore! È ironico che la maggior parte delle aziende rimaste in quello che dovrebbe essere un mercato di grande fiducia siano altamente sospette.

Con questi pensieri in mente, ci sono alcuni principi e passi che si possono prendere per salvaguardare i dati, e sono descritti nella sezione seguente.

Come proteggere i tuoi dati

Ecco un breve elenco di passaggi che puoi implementare per salvaguardare i tuoi dati. Se sei un utente iPhone, dai un'occhiata al nostro approfondimento per proteggere il tuo iPhone, foto e account iCloud .

  1. Se è necessario utilizzare Android, utilizzare un telefono prodotto da Google (come Pixel), poiché Google è l'unico fornitore che fornisce in modo affidabile aggiornamenti regolari di software e sicurezza. Fai attenzione ai rischi associati al download di app da Google Play. Se questo sembra restrittivo o oneroso, considera di passare a un iPhone.
  2. Prestare attenzione a scaricare app o iscriversi a servizi. Fai attenzione ai modelli scuri e ai servizi gestiti da società anonime o da società al di fuori dei territori con forti leggi sulla protezione dei dati (Europa, Stati Uniti, Canada).
  3. Non fare affidamento su servizi basati sulla pubblicità come Facebook - nel peggiore dei casi, non accedere con Facebook o installare l'app - o prodotti come Google Wi-Fi cheraccogliere dati in remoto. Potenti firewall comeBoccino(macOS) oGuardian Firewall(iOS, "Per noi, i dati sono una responsabilità, non una risorsa") Può bloccare o evidenziare la raccolta di dati invasivi.
  4. Quando trovi app o software, non fare affidamento su recensioni diverse da quelle presenti nell'App Store o da fonti di recensioni di terze parti attendibili. È facile falsificare le recensioni su un sito Web, creare piccoli siti di recensioni indipendenti falsi e farlomostra le valutazioni a stelle nei risultati di ricerca di Google. Ancora più grandi siti di recensioni come Trustpilotpuò essere manipolato, ma sono comunque probabilmente la migliore fonte di recensioni.
  5. Fai attenzione alla tua webcam e al tuo microfono: le app che li usano non lo chiariranno necessariamente. AncheMark Zuckerberg mantiene bloccatoquando non lo sta usando. Considera ascudo webcameblocco micche può impedire al tuo computer di registrarti.
  6. Usoautenticazione a due fattori(2FA), ma non utilizzarlo tramite SMS. È relativamente facile eseguire ciò che è noto come "SIM-jacking"Attacco per ottenere l'accesso ai messaggi SMS di un'altra persona. Lo era il CEO di Twitterattaccato con successoin questo modo nel 2019.
  7. Effettua backup regolari del tuo iPhone o iPad utilizzando iTunes o iPhone Backup Extractor (entrambi gratuiti per questa funzionalità) anziché utilizzare iCloud, poiché iCloud non è crittografato end-to-end e ha un limite di archiviazione gratuito di 5 GB.
  8. Usa la crittografia dell'intero disco (FDE). I moderni dispositivi iOS e Android hanno questo abilitato per impostazione predefinita, ma il tuo PC o Mac non lo farà. Sul Mac, questo si chiamaFileVaulte su Windows si chiamaBitLocker. Senza FDE, sarebbe facile per chiunque semplicemente rimuovere il disco rigido dal tuo computer per vedere i tuoi dati, ignorando la password che usi per proteggere il tuo account.
  9. Non rinviare gli aggiornamenti del software. Mentre può essere frustrante quando sembra che il tuo computer, telefono o browser desideri aggiornare e riavviare spesso, questi aggiornamenti contengono spesso aggiornamenti di sicurezza fondamentali.
  10. Le app di gestione delle password possono essere preziose per aiutare gli utenti a impostare e ricordare password distinte e sicure per le app e i servizi che utilizzano. I buoni gestori di password possono anche rilevare password duplicate o deboli e confrontarle con database di password trapelate, ad esempiohaveibeenpwned.1PasswordeLastPasslavorare bene.

Possiamo migliorare questo articolo?

Ci piace ascoltare gli utenti: perché non mandarci un'email, lasciare un commento o twittare @reincubate?

© 2008 - 2020 Reincubate Ltd. Tutti i diritti riservati. Registrato in Inghilterra e Galles #5189175, VAT GB151788978. Reincubate® è un marchio registrato. Politica sulla riservatezza & condizioni. Raccomandiamo 2FA. Costruito con a Londra.