La sicurezza dei Social Network

Un interessante articolo pubblicato su www.zeit.de da Von Kai Biermann, riporta i risultati di una ricerca condotta dal Fraunhofer Institute for Secure Information Technology sul livello di sicurezza con cui vengono trattati i dati personali nei Social Network, partendo dal presupposto che lo scambio di profili nei Social Networks pubblici contraddice l’idea stessa di protezione dei dati.

Secondo gli studiosi che hanno preso parte a questa ricerca, i Social network sono sicuramente dei mezzi utili, ma obbligano, chi non volesse rendere illimitatamente pubblici i propri dati, a prendere delle precauzioni.

E’ ovvio che, per Social Network come Facebook, il rendere informazioni private facilmente accessibili al massimo numero di persone è uno degli scopi di coloro che si iscrivono; ne consegue una libera rinuncia all’anonimato e alla sfera privata, con il fine di ottener attenzione. Questo non dovrebbe comunque comportare una totale mancanza di protezione; all’interno del Network vi dovrebbero essere il minor numero di barriere possibili, ma dall’esterno questi dati non dovrebbero essere accessibili. E’ proprio su questo punto che si sono soffermati i ricercatori del Frauenhofer Institute.

La ricerca ha preso in considerazione i Social Network MySpace, Facebook, StudiVZ, Wer-kennt-wen, Lokalisten.de, Xing e LinkedIn, nel periodo compreso tra marzo ed agosto 2008. L’attenzione è stata focalizzata sulla facilità di controllo della diffusione dei dati, tramite la limitazione dell’accesso di una parte del profilo solo a gruppi di utenti prefissati e verificando che le informazioni bloccate non fossero accessibili dal di fuori. In genere, chi si iscrive non vuole rinunciare completamente alla sfera privata, ma vuole condividere le proprie foto, ad esempio, con i propri amici ma non necessariamente con i propri datori di lavoro.

I ricercatori ammettono che lo scambio pubblico di informazioni e le esigenze di sicurezza di per se si contraddicono. Per questo si sono occupati principalmente delle possibilità di controllo, cioè sul come, sul se e in quale ambito e con quali mezzi gli utenti possono gestire il flusso di informazioni nella piattaforma. Sono stati presi in considerazione solo quei dati della sfera privata, le convinzioni politiche e religiose oppure le indicazioni sulla salute o sulle preferenze sessuali, con la cui conoscenza è possibile manipolare e prevedere il  comportamento dell’utente interessato.

Ecco i risultati della ricerca, relativamente al periodo marzo-agosto 2008:

• Tutti i Social Network raccolgono più dati di quelli realmente necessari. Secondo i ricercatori sarebbe  del tutto superfluo richiedere, al momento dell’iscrizione, la data di nascita completa (Facebook, StudiVZ) o il codice postale del luogo di residenza (MySpace); la stessa cosa vale per le indicazioni sulla situazione lavorativa nei Social Network professionali (Xing, LinkedIn). Quindi, per realizzare il servizio dal punto di vista tecnico o per soddisfare le necessità legali, questi gruppi di dati non risultano indispensabili.
• Il criptaggio sembra essere problematico in praticamente tutte le piattaforme. Solo in Xing l’intero accesso risulta protetto per tutta la sua durata ed in Facebook, StudiVZ e LinkedIn le iscrizioni e la pagina di configurazione risultano criptate e così anche il nome utente e la password. MySpace, Wer-kennt-wen e Lokalisten.de non risultano affatto criptati.
• MySpace, StudiVZ e Facebook offrono le migliori possibilità per gestire i propri dati  e controllarne l’accesso. Negli ultimi due Social, l’utente sembra comunque dover accettare dei compromessi. Fanalino di coda sembra essere rappresentato dai Lokalisten.de, in cui non sembra esserci alcuna possibilità di impostazione. Nelle configurazioni standard preimpostate di tutte le piattaforme i profili risultano ampiamente accessibili e totalmente inadatti dal punto di vista della protezione dei dati.
• In tutti i Social Network le immagini ed i video sono linkati nei profili, motivo per cui sono accessibili anche dall’esterno. Nessuna delle piattaforme, nel periodo soggetto allo studio, modificava l’ URL di questi metadati. Quindi, nel caso in cui l’Url fosse stata nota, sarebbe stato possibile accedervi direttamente. Il motore di ricerca sperimentale “Polar Rose” può per esempio trovare queste URL, mostrare le immagini e cerca di associare loro dei nomi.
• Risulta problematica anche la gestione dei profili cancellati. In MySpace, StudiVZ, Wer-kennt-wen e LinkedIn la cancellazione sembra essere semplice e completa, in Xing e nei Lokalisten.de un po’ più complicata e in Facebook la cancellazione non è proprio prevista, si può solo disattivare il profilo. Ove presente, la cancellazione del profilo risulta completa, comprendente anche i contributi sui forum e sui blog. Ciò non vale per StudiVZ e Wer-kennt-wen, in cui è solo possibile rendere anonimi i dati tramite la sostituzione del nome dell’autore. In Xing non sembra essere possibile neppure questa sostituzione.

In conclusione, dal punto di vista della protezione della sfera personale, nessuno di questi siti, secondo la ricerca, sembra convincente. Il giudizio migliore, per i ricercatori, sembra andare a  Facebook, il peggiore ai Lokalisten.de.

Per quanto un Social Network possa uscirne con un giudizio positivo o negativo, il Fraunhofer Institute consiglia di prendere comunque delle precauzioni quando ci si muove al loro interno.  Si dovrebbero, per esempio, sempre verificare ed utilizzare i controlli di accesso.

Per chi non vuole rinunciare ai contatti sui network,  ma non si fida delle loro misure di protezione dei dati, può comunque evitare di inserire i propri dati reali durante la registrazione, con l’unico rischio di essere escluso dalla Community.