Mauro Vecchio

KISSmetrics, tracciamento a tradimento

Svariati siti web avrebbero adottato una specifica tecnologia realizzata dalla startup californiana KISSmetrics. Un servizio di tracciamento a prova di bomba. Partita la prima class action per violazione della privacy

Roma - A lanciare l'allarme è stato un recente studio pubblicato da un gruppo di ricercatori dell'Università di Berkeley: alcuni tra i principali siti web si sarebbero serviti di una potente tecnologia di tracciamento, praticamente impossibile da neutralizzare per milioni di netizen.

A realizzarla è stata KISSmetrics, startup di San Francisco fondata nel 2008 e gestita da un gruppo di quasi 20 persone. Appunto un servizio di tracciamento delle attività degli utenti, capace di rivelare ai vari siti informazioni come il numero complessivo dei visitatori, la loro provenienza web, i vari contenuti visitati.

Una versione più completa di Google Analytics, almeno secondo i vertici di KISSmetrics. Ciò che ha però allarmato gli esperti californiani è la straordinaria resistenza mostrata dalla tecnologia di KISSmetrics, che riuscirebbe a tracciare persino dopo il blocco dei cookie o l'attivazione di varie tecniche per la navigazione anonima.
Ad adottare il servizio sono stati alcuni tra i più visitati siti della Rete, in primis quelli di Hulu e di Spotify. Entrambi gli spazi online sono caduti dalle nuvole, annunciando l'immediata fine dei rapporti con i vertici di KISSmetrics. Negli Stati Uniti è però partita la prima class action per violazione massiva della privacy.

Hulu e KISSmetrics sono state dunque denunciate alle autorità federali, dopo che la Federal Trade Commission (FTC) aveva già iniziato la sua agguerrita battaglia contro le attività di tracciamento indiscriminato degli utenti. I vertici della startup californiana hanno sottolineato come la tecnologia sia stata implementata senza scopi fraudolenti.

Mauro Vecchio
Notizie collegate
  • AttualitàUSA, senatori per la privacy mobilePresentata una proposta di legge contro lo sfruttamento non autorizzato di dati geolocalizzati. Tutti i soggetti del settore mobile dovranno prevedere un esplicito consenso da parte degli utenti
  • AttualitàCalifornia, la strada per non tracciareApprovata la proposta di legge che obbligherebbe tutte le società locali ad evitare attività di tracciamento online su esplicita richiesta degli utenti. Critiche da parte dell'industria: bloccherà il mercato
  • AttualitàAP, l'anti-tracciamento corre sul browserL'agenzia di stampa statunitense implementerà la feature Do-Not-Track per i circa 800 siti legati al suo News Registry. Gli utenti di Firefox 4 e IE 9 potranno attivarla e navigare al sicuro da occhi indiscreti. O quasi
20 Commenti alla Notizia KISSmetrics, tracciamento a tradimento
Ordina
  • Tutte le informazioni che questi rastrellano sono sparpagliate per vari file sul computer, sarebbe bello avere un browser o un'estensione che tenga d'occhio tutto questo, controlli quali dati vengono inviati al sito visitato, ed eventualmente permetta di anonimizzarli a piacere.
    Qualche idea? Io sono fermo ai cookies disabilitati, noscript, betterprivacy per i cookies flash. Non sono mai riuscito a smanettare con l'user agent.
    Funz
    13000
  • ma tanti dati statistici non sono dati che risiedono sul pc. Se io ho un sito web in base alle connessioni posso sapere da quali paesi si connettono, cosa guarda un singolo "utente" (ip) e fare statistiche per paese o altro. Sono banali funzioni che integra anche apache. Ma questa non è violazione della privacy perchè non sono riconducibili a persone fisiche.

    volete dare ragione alle major con l'equazione ip=persona?

    l'articolo non chiarisce i dati "rastrellati" ... quindi non capisco il problema
    non+autenticato
  • - Scritto da: gig
    > ma tanti dati statistici non sono dati che
    > risiedono sul pc. Se io ho un sito web in base
    > alle connessioni posso sapere da quali paesi si
    > connettono, cosa guarda un singolo "utente" (ip)
    > e fare statistiche per paese o altro. Sono banali
    > funzioni che integra anche apache. Ma questa non
    > è violazione della privacy perchè non sono
    > riconducibili a persone
    > fisiche.
    >
    > volete dare ragione alle major con l'equazione
    > ip=persona?
    >
    > l'articolo non chiarisce i dati "rastrellati" ...
    > quindi non capisco il
    > problema

    Il tuo browser manda in giro un mucchio di dati (risoluzione schermo, impostazioni, plugin ed estensioni usate, cookies, eccetera) che possono portare ad una identificazione univoca, quindi possono associare il tuo browser ai vari IP che hai usato e ai siti che hai frequentato.
    Verifica tu stesso
    https://panopticlick.eff.org/

    Il mio risultato:
    Your browser fingerprint appears to be unique among the 1,701,007 tested so far.

    Quindi si che mi preoccupo.
    Funz
    13000
  • Il mio sito web è una estensione di casa mia, se tizio ci entra ho il diritto di sapere quando è entrato, quali camere ha visto e in quale ordine, quanto ci è rimasto, e possibilmente chi gli ha dato il mio indirizzo. L'unica cosa che non ho diritto di sapere è chi va a trovare dopo di me.
    non+autenticato
  • - Scritto da: ephestione f.s.
    > Il mio sito web è una estensione di casa mia, se
    > tizio ci entra ho il diritto di sapere quando è
    > entrato, quali camere ha visto e in quale ordine,
    > quanto ci è rimasto, e possibilmente chi gli ha
    > dato il mio indirizzo. L'unica cosa che non ho
    > diritto di sapere è chi va a trovare dopo di
    > me.

    Direi che ti sei inventato un pretesto che non sta in piedi.

    Domani anche un cartellone pubblicitario diventa un'estensione di casa mia, voglio sapere chi lo guarda, quali parole ha letto e quali no, da che via arrivava e chi gli ha detto che il mio cartellone pubblicitario era li.

    Se leggi un giornale devi dire all'edicolante che pagine leggi e dove ti siedi a leggere e da dove arrivi per comprare il giornale?
    non+autenticato
  • mi sembra una boiata. Come fanno a tracciarti se hai cancellato i cookies, disabilitato js e ripulito la cache? Magari dopo che hai anche cambiato ip?
    Se la loro tecnica era relativa alla manipolazione della cache come mi sembra dalla schermata non è nulla di particolarmente innovativo.
    non+autenticato
  • e la famosa questione del chip fritz?
    non+autenticato
  • - Scritto da: grv
    > e la famosa questione del chip fritz?

    Adesso si chiama iphone / ipad
    Funz
    13000
  • piu' che altro sono dati massivi, la privacy scatta solo su dati che possono essere in qualche modo riconducibli a persone specifiche. Nell'articolo si parla di banali statistiche di accesso...qual'è il problema? 0_0 ... di certo l'informazione l' IP xxx.xxx.xxx.xxx ha visitato la pagina xxx.com non è contenuta nei cookie... siamo su Novella 2000?
    non+autenticato
  • Si basa solo sull'user agent. può indicare qualcosa solo relativamente agli utonti che si riempiono di toolbars di tutti i generi, spesso con numero identificativo univo. tolto quello l'unica cosa che l'user agent fornisce in genere è browser macchina s.o e nazione.
    Probabilmente solo google e parzialmente fb riescono a tracciare qualcosa in più perchè hanno una mappa abbastanza precisa della locazione goografica degli ip, dato l'alto numero di utenti che volontariamente fornisce la sua locazione.
    non+autenticato
  • - Scritto da: AxAx
    > Si basa solo sull'user agent. può indicare
    > qualcosa solo relativamente agli utonti che si
    > riempiono di toolbars di tutti i generi, spesso
    > con numero identificativo univo.

    Cioè il 95% degli utenti.
    non+autenticato
  • - Scritto da: AxAx
    > Si basa solo sull'user agent. può indicare
    > qualcosa solo relativamente agli utonti che si
    > riempiono di toolbars di tutti i generi, spesso
    > con numero identificativo univo. tolto quello
    > l'unica cosa che l'user agent fornisce in genere
    > è browser macchina s.o e
    > nazione.
    > Probabilmente solo google e parzialmente fb
    > riescono a tracciare qualcosa in più perchè
    > hanno una mappa abbastanza precisa della
    > locazione goografica degli ip, dato l'alto numero
    > di utenti che volontariamente fornisce la sua
    > locazione.

    Dallo user agent si ricava poco ma basta avere js abilitato che si ottengono una marea d'informazioni, con buona probabilità univoche; è una tecnica molto efficace che riesce ad avere, su un alto numero di visitatori, un'ottima precisione!
    E non dirmi che disabiliti js perché grazie a quanto fa pena il linguaggio html usare dei js (che fanno pena a loro volta) è d'obbligo in qualunque sito e lo sarà sempre più.

    Ad esempio queste sono SOLO alcune info determinabili dal mio browser:

    Opera/9.80 (Windows NT 6.1; U; en) Presto/2.9.168 Version/11.50
    Operating System:
    Microsoft
    Platform:
    Windows 7
    Internet Browser:
    Opera 11.50
    Beta Version:
    No
    Connection Speed:
    181.85 Mbps
    Restrictive Firewall:
    Yes
    Local Date/Time:
    03/08/2011 09:21:00
    Language:
    Italian
    System Language:
    Not detectable with this browser
    User Language:
    en
    Popups Blocked:
    No
    SSL Support:
    Yes
    SSL Enabled:
    Yes
    Style Sheet Support:
    No
    Supports Tables:
    Yes
    Table Cell BG Colors:
    Supported
    ............................
    ............................
    non+autenticato
  • - Scritto da: AxAx
    > mi sembra una boiata. Come fanno a tracciarti se
    > hai cancellato i cookies, disabilitato js e
    > ripulito la cache? Magari dopo che hai anche
    > cambiato
    > ip?

    più cose cancelli e disabiliti, più diventa difficile identificarti con certezza. Ma ci si può avvicinare di molto comunque.

    Pensa solo a google analytics: ogni volta che apri una pagina o visiti un sito, google lo viene a sapere. Così anche se per caso sei scollegato dal tuo account google, ma il tuo "stile" di navigazione rimane lo stesso, google ti può identificare facilmente.

    Per "stile" si possono intendere molte cose: browser, sistema operativo, user agent etc.

    ma anche gli IP che utilizzi dicono molto (il tuo provider di casa o del tuo ufficio, la tua posizione geografica, etc.)

    i siti che visualizzi abitualmente

    il tuo modo di digitare nel campo di ricerca di google ... ebbene sì .. anche questo dice molto

    insomma sono tutte informazioni che prese da sole non dicono molto, ma messe assieme, con un po' di calcolo delle probabilità ed un altro po' di data mining, fanno miracoli.

    Pensa di aver fatto il logoff da google, e magari cancellato i cookies.
    Poi fai una ricerca, e google capisce se sei veloce a scrivere, lento, intelligente, furbo, etc.
    Poi apri alcuni siti che visiti abitualmente.
    Poi google vede che il provider è quello che utilizzi di solito.
    E google vede che anche la posizione geografica corrisponde.
    Infine lo user agent è molto simile al tuo.

    Ecco che sei stato identificato. Ed ho fatto un esempio molto semplice che può essere capito da tutti. Quando navighi, forse non lo sai, ma lasci in giro davvero molte più informazioni di quelle che comunemente credi....

    (sto parlando di google perché non conosco il sistema di tracciamento citato nell'articolo... ma le tecniche sono molto simili)
    non+autenticato
  • Basta seguire i link:
    Su wired trovi un articolo abbastanza esplicativo, con link al codice e al paper di Berkeley: http://www.wired.com/epicenter/2011/07/undeletable.../
    non+autenticato
  • come mi chiamo?
    non+autenticato