Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

IL CASO

Profili social “mappati” con la biometria. E la privacy?

La società di hacking “etico” Trustwave battezza il primo motore al mondo in grado di utilizzare il riconoscimento facciale per correlare gli account dei social network. Obiettivo: simulare scenari di “attacco” per aumentare la security. Ma che succede in caso di fuga di dati?

13 Ago 2018

Mila Fiordalisi

Condirettore

Si chiama Social Mapper il primo “motore” di ricerca al mondo in grado di utilizzare il riconoscimento facciale per correlare i profili degli utenti sui social network. A firmare l’innovativa quanto “inquietante” creatura è Trustwave, azienda che si autopromuove come fornitore di servizi di hacking etico, un paradosso linguistico già di per sé. Ma al di là delle considerazioni e dei giudizi l’azienda ha decisamente messo a segno un grosso colpo. Lo strumento di intelligence open source – così lo presenta Trustwave – è stato pensato per consentire di rafforzare la sicurezza.

Funziona così: la piattaforma rileva le foto dei profili e in automatico riesce a correlare le informazioni da social quali LinkedIn, Facebook, Twitter, Google+, Instagram, VKontakte, Weibo e Douban. Una volta eseguita la mappatura è in grado di simulare una serie di scenari di “hackeraggio” e di fornire una reportistica puntuale sui comportamenti degli utenti. Ad esempio – si legge sul sito dell’azienda – Social Mapper può creare finti profili social per inviare  link trappola che mirano a indurre l’utente a rilasciare le sue credenziali (password o altri dati sensibili) o a cliccare su pagine web che una volta raggiunte installano malware sui dispositivi (pc e smartphone). “Le statistiche recenti mostrano che gli utenti dei social media hanno più del doppio delle probabilità di fare clic su collegamenti e documenti aperti rispetto a quelli forniti via email”, evidenzia la società.

Ancora: è possibile indurre gli utenti a divulgare le loro e-mail e i loro numeri di telefono in cambio di buoni acquisto o sconti su prodotti/servizi e creare campagne di phishing “personalizzate” sulla base dello specifico social utilizzato per “catturare” le password e riutilizzarle, ad esempio invitando gli utenti ad aggiornare le stesse password. Non solo: il riconoscimento facciale può essere utilizzato per associare le foto dei profili social con quelle presenti sui badge di accesso all’interno degli edifici che consentono il passaggio ai varchi ma anche il log a computer e altre strumentazioni.

L’azienda fa sapere di aver già testato il “tool” per conto di alcuni clienti e che i risultati in termini di “screening” dei profili solo eccezionali in termini di tempo rispetto ad un’analisi condotta andatto a mappare le singole azioni sulle singole piattaforme. Trustwave puntualizza inoltre che il “motore” si rivolge principalmente – ma non esclusivamente – ai cosiddetti penetration tester e ai red teamers, ossia a coloro che si occupano di simulare scenari di phishing sui social media. “Il vantaggio principale deriva dall’automazione dei profili di corrispondenza e dalle capacità di generazione dei report – sottolinea ancora l’azienda -. L’industria della sicurezza continua a lottare con la carenza di talenti mentre di contro si assiste a una rapida evoluzione del cybercrime: è imperativo dunque che il tempo di un tester di penetrazione venga utilizzato nel modo più efficiente possibile”.

La notizia però non ha mancato di sollevare alcuni interrogativi legati alle questione di privacy. La possibilità di incrociare i dati e soprattutto di utilizzare il riconoscimento facciale per “mappare” gli utenti implica il venire in possesso di dati altamente sensibili, visto che siamo nel campo della biometria: i dati saranno usati solo a scopi di tutela della sicurezza? Dove vengono conservate le informazioni? Chi ne ha legale accesso? Vengono cedute alle società-clienti? E chi sono? Cosa accade se i dati entrano in possesso di società di marketing e profilazione in maniera lecita e ancor più illecita come accaduto nel caso-scandalo Cambridge Analytica che ha scatenato il putiferio su Facebook?

Sulle tecnologie di riconoscimento facciale stanno investendo i principali colossi dell’hi-tech mondiale e in Cina sono già attivi tutta una serie di sistemi in grado di individuare le persone grazie ai dati catturati dalle videocamere disperse sul territorio, a dimostrazione di quanto le sperimentazioni siano già in fase avanzata. Saremo tutti in un “Big Brother”?

@RIPRODUZIONE RISERVATA

Articolo 1 di 5