Profili social mappati con la biometria. I rischi per la privacy

MILANO - Social Mapper è il primo “motore” di ricerca al mondo in grado di utilizzare il riconoscimento facciale per correlare i profili degli utenti sui social network. Trustwave, azienda fornitrice di servizi di "hacking etico", ha messo a punto lo strumento di intelligence open source – così è stato presentato -  pensato per garantire una maggiore sicurezza.

Questo il funzionamento: la piattaforma rileva le foto dei profili e, in automatico, correla le informazioni da social quali LinkedIn, Facebook, Twitter, Google+, Instagram, VKontakte, Weibo e Douban. Quando la mappatura è stata eseguita, è in grado di simulare una serie di scenari di “hackeraggio” e di fornire una reportistica puntuale sui comportamenti degli utenti.

Come indica il sito dell’azienda, Social Mapper può creare finti profili social per inviare  link trappola, il cui intento è indurre l’utente a rilasciare le sue credenziali, password o altri dati sensibili, o a cliccare su pagine web che, una volta che siano state raggiunte, installano malware sui dispositivi (pc e smartphone). 

Gli utenti possono anche essere indotti a divulgare le loro e-mail e i loro numeri di telefono in cambio di buoni acquisto o sconti su prodotti/servizi e creare campagne di phishing “personalizzate” sulla base dello specifico social utilizzato per acquisire le password e riutilizzarle, ad esempio invitando gli utenti ad aggiornare le stesse password.

Il riconoscimento facciale può essere utilizzato per associare le foto dei profili social con quelle presenti sui badge di accesso all’interno degli edifici che permettono il passaggio ai varchi ma anche il log a computer e altre strumentazioni.

Dall'azienda è stato reso noto che lo strumento è stato già utilizzato per conto di alcuni clienti e che i risultati in termini di “screening” dei profili solo notevoli, in termini di tempo, rispetto ad un’analisi condotta andatto a mappare le singole azioni sulle singole piattaforme.

Trustwave puntualizza inoltre che il “motore” si rivolge principalmente – ma non esclusivamente – ai cosiddetti penetration tester e ai red teamers,ossia a coloro che si occupano di simulare scenari di phishing sui social media. “Il vantaggio principale deriva dall’automazione dei profili di corrispondenza e dalle capacità di generazione dei report – sottolinea ancora l’azienda -. L’industria della sicurezza continua a lottare con la carenza di talenti mentre di contro si assiste a una rapida evoluzione del cybercrime: è imperativo dunque che il tempo di un tester di penetrazione venga utilizzato nel modo più efficiente possibile”.

E la privacy?

Non mancano gli interrogativi legati al tema della privacy. La possibilità di incrociare i dati e soprattutto di utilizzare il riconoscimento facciale per “mappare” gli utenti implica il venire in possesso di dati sensibili, visto che ci si trova nel campo della biometria. Ci si domanda quale uso verrà fatto dei dati, dove vengano conservate le informazioni e chi ne abbia legale accesso. Ci si chiede naturalmente se vengano cedute alle società-clienti e cosa avvenga se i dati entrano in possesso di società di marketing e profilazione in maniera lecita e ancor più illecita, come accaduto nel caso-scandalo Cambridge Analytica. 

Proprio su tecnologie di riconoscimento facciale i principali colossi dell’hi-tech mondiale stanno compiendo investimenti. In Cina sono già attivi sistemi capaci di individuare le persone grazie ai dati catturati dalle videocamere presenti sul territorio, a dimostrazione di quanto le sperimentazioni siano già in fase avanzata. 

(Fonte: Corriere Comunicazioni)