L'accusa arriva da Thomas Fox-Brewster, un giornalista di Forbes esperto di sicurezza informatica, sul suo profilo Twitter. Secondo l'autore del tweet, il blog di Beppe Grillo raccoglierebbe gli indirizzi email memorizzati nei gestori di password dei browser degli utenti che visitano il sito sfruttando una pratica conosciuta e basata su un software francese chiamato Adthink. Una pratica che, se adottata dal gestore del sito web, rappresenta un modo per collezionare di nascosto indirizzi di mail da utilizzare per inviare poi spam e non solo.
Il problema è che sul sito del blog di Grillo non viene specificata questa raccolta e, di conseguenza, non è possibile assicurarsi di quale sia l'utilizzo finale di questi dati. D'altronde l'utilizzo di Adthink è ad oggi un modo legale che può essere utilizzato per ricostruire il profilo degli utenti e la cronologia di navigazione. Un metodo utile anche per aggirare le limitazioni introdotte recentemente sull'uso dei cookie che proprio sulle "abitudini" degli utenti basavano la loro esistenza. Questo metodo, invece, sfrutta la sfrutta persistenza della mail, associandole ai singoli utenti.
Ma da cosa nasce questa possibilità? Da una vulnerabilità dei "login manager", cioè quei software integrati all'interno dei browser che consentono di salvare i dati accesso ai siti web: quando accedete per esempio a Facebook e i vostri username e password sono già pronti nelle caselle di testo, è merito del login manager. Il problema è che attraverso alcuni script i gestori dei siti web possono risalire algli indirizzi email che possono poi essere utilizzati per tracciare gli utenti. Il funzionamento è tecnico ma non troppo complesso. L'utente deve inserire username e password sul sito web per accedere al proprio account, salvando i dati di login nel browser. In seguito, se l'utente visita un'altra pagina del sito dove è stato predisposto lo script, il portale genera un form invisibile che viene autocompilato con username e password dal login manager del browser. In questo modo, semplicemente leggendo il form, il sito web è in grado di accedere all'indirizzo email che viene poi inviato ad un server di terze parti.
È questa la pratica attuata sul blog di Beppe Grillo e svelata dal giornalista di Forbes. Una "falla" presente in realtà da oltre 11 anni sul web per un semplice motivo: dal punto di vista della sicurezza, quella sfruttata da script come Adthink non è una vulnerabilità perché gioca "secondo le regole" e non viola le direttive sulla sicurezza. Ciò che gli utenti possono fare per evitare questa pratica è utilizzare un Adblock o un software di protezione contro il tracciamento e gli script di terze parti come EasyPrvacy. Resta però la domanda per Beppe Grillo: a che scopo il suo blog raccoglie indirizzi email sfruttando Adthink?
