Che nel web venga memorizzato più di quanto immaginiamo è una cosa risaputa tra i più esperti del settore. Ma nessuna ricerca quanto quella condotta da Steven Englehardt, Gunes Acar e Arvind Narayanan, tre ricercatori dell'università di Princeton, ha mai messo sotto la lente d'ingrandimento un numero così grande di siti in tutto il mondo: dopo aver analizzato oltre cinquantamila siti, tra quelli più utilizzati nel pianeta, gli sviluppatori hanno scoperto che centinaia di questi – tra cui uno italiano – utilizzano script in grado di registrare con precisione ogni movimento dell'utente.
Quali sono i rischi? Moltissimi. Si parte dal furto d'identità e si arriva alle truffe, fino alla collezione dei dati sensibili. E sono tutti rischi che nella stragrande maggioranza dei casi non potrebbero dipendere dai proprietari dei siti stessi ma da un eventuale hackeraggio, che potrebbe servire su un piatto d'argento tutti i dati memorizzati automaticamente nel corso della navigazione.
Nell'indagine, la prima di una serie dal titolo "No boundaries", a far scattare il bollino rosso sono stati i servizi di "session replay", dei sistemi divenuti molto diffusi negli ultimi anni il cui scopo è quello di analizzare i comportamenti degli utenti in fase di navigazione del sito per migliorare l'esperienza di navigazione, ottimizzare il relativo tasso di conversione e – ovviamente – aumentare i guadagni.
Sembrerebbe tutto molto bello, ma il problema è che gli script di "session replay" sono in grado di registrare con precisione scientifica tutti i movimenti di ogni singolo utente in un determinato sito, a partire dalla posizione del mouse sull'interfaccia, fino ad arrivare ai click e al testo digitato.
Dati importantissimi, collezionali e inviati a siti terzi, nello specifico alle stesse aziende produttrici degli script, tra cui le sette analizzate dagli studiosi: FullStory, Hotjar, Yandex, Clicktale, SessionCam e Smartlook.
Partendo dalla classifica di Alexa dei siti più visitati al mondo, gli studiosi hanno scoperto che i cinquantamila portali più cliccati del globo utilizzano almeno uno tra i sette script sopra elencati. Grazie ai test effettuati si è scoperto però che non tutti gli script sono invasivi nello stesso modo: tra i più "spioni" sono quelli prodotti da Yandex e da FullStory.
Nella lista dei "siti spioni" compaiono Hp.com, Comcast.net, Norton.com, Lenovo.com, Intel.com, assieme a Walgreens.com (un sito medico) e Fidelity.com (un sito di investimenti finanziari).
Sono presenti anche 800 siti italiani che utilizzano gli script prodotti da una di queste sette aziende, fra questi ci sarebbero Unicredit.it, Wind.it, Idealista.it e tanti altri. Ma solo per Sky.it è stata rilevata un'attività di registrazione delle azioni del visitatori, per gli altri invece non è stato possibile rilevarlo.
"È difficile per gli utenti capire cosa stia davvero succedendo a meno che non si leggano attentamente la policy del sito sulla privacy" – ha spiegato Steven Englehardt – "Sono solo contento del fatto che gli utenti ora sono consapevoli delle tecniche usate e dei rischio cui sono esposti".
