Ricercatori dell'Università della California hanno scoperto il cookie che non si può cancellare. Diversi siti popolari usano un servizio di tracciamento chiamato KISSmetrics, che a quanto pare non può essere bloccato, persino se impostate il browser per non archiviare cookie, disattivate l'archiviazione Flash o usate la modalità di navigazione in "incognito".
KISSmetrics è simile a Google Analytics, per certi versi, poiché permette di tener traccia del numero di visitatori, cosa fanno sul sito e da dove arrivano. Secondo i ricercatori il servizio adotta però "tecniche subdole" per impedire agli utenti di non essere tracciati.
KISSmetrics è una startup di 17 persone nata nel 2008 nell'area intorno a San Francisco. Il fondatore, Hitten Shah, ha affermato che lo studio dei ricercatori è corretto, ma ha anche aggiunto che le tecniche usate non sono illegali.
"Non lo facciamo con intenti dannosi. Non lo facciamo per tracciare le persone in tutto il Web. Ti avrei fatto parlare con gli avvocati se stessimo facendo qualcosa di cattivo", ha dichiarato il fondatore a Ryan Sigel, giornalista di Wired.
I cookie non si cancellano
Secondo Shah il suo servizio è usato da migliaia di siti che tracciano gli utenti in arrivo, ma non "vende o compra" dati sui visitatori. "Usiamo cookie standard per generare un'identità casuale assegnata ai visitatori dei siti che sono nostri clienti. Questa identità non fa nulla. I consumatori possono ripulire questi cookie per liberarsi dell'identità casuale generata da KISSmetrics", scrive l'azienda in una nota sul proprio sito web.
Tra i siti che usano KISSmetrics troviamo Hulu e Spotify - che hanno immediatamente sospeso l'uso del servizio per avviare delle indagini. Wired ha scritto che ce ne sono tanti altri, anche molto noti, ma non ha voluto svelarne l'identità .
"Se un utente arriva su Hulu.com da una pubblicità di Facebook e poi dopo, usando un differente browser sullo stesso computer, visita Hulu.com da Google, e poi a un certo punto si autentica al servizio per un acquisto, KISSmetrics dovrebbe essere in grado di dire a Hulu tutto il percorso fatto dall'utente prima di arrivare all'acquisto (senza sapere chi sia la persona)".
"Questo tracciamento rimane presente anche qualora un utente decida di cancellare i propri cookie, in quanto il codice archivia un ID unico in posti differenti da quelli dei cookie tradizionali", scrive Wired. Secondo un ricercatore, Ashkan Soltani, "il sistema funziona anche se avete bloccato tutti i cookie e attivato la modalità di navigazione privata. Il codice è abbastanza chiaro".
I numeri ID per tutti e tre i cookie sono gli stessi
Wired spiega che già nel 2009 venne scoperta una tecnologia simile, creata dall'azienda di analisi pubblicitaria Clearspring and Quantcast, che ricreava i cookie dopo che erano stati cancellati. "La tecnica usava una piccola proprietà di Flash per mantenere un numero ID unico. Poi, se un utente cancellava i propri cookie, le aziende avrebbero potuto controllare la presenza dell'ID unico e usarlo per ripristinare i cookie HTML tradizionali". Clearspring and Quantcast dovette pagare 2,4 milioni di dollari a seguito di class action e indagini degli enti governativi. Tra i siti che facevano uso di quel sistema c'era anche Hulu.
Secondo i ricercatori, la difesa del fondatore di KISSmetrics non regge. "I codici di Hulu e KISSmetrics sono piuttosto illuminanti", ha dichiarato Soltani. "Questi servizi usano praticamente tutti i metodi noti per aggirare qualsiasi tentativo dell'utente di proteggere la propria privacy (cookie, Flash cookie, HTML5, CSS, Cache Cookie / Etag ...)".
A detta degli studiosi, due siti che usano KISSmetrics potrebbero confrontare le proprie banche dati e scambiarsi informazioni su un particolare utente. Insomma, un sistema che ha poco a che fare con la richiesta di privacy fatta dai governi, da diversi movimenti popolari e soprattutto con i recenti strumenti implementati dagli sviluppatori di browser come il Do Not Track, per consentire agli utenti di controllare i dati che condividono durante la navigazione del Web. La privacy su Internet per molti è una chimera, ma è chiaro che non tutto è concesso.