Il noto giornalista investigativo Brian Krebs accende un faro su un tema a dir poco allarmante. Una società tecnologica privata, con sede in Virginia (USA), ha sviluppato una piattaforma in grado di tracciare la posizione di qualunque persona, in tempo reale. Lo strumento, battezzato LocateX, sarebbe venduto non soltanto a clienti privati ma anche ad enti governativi.
Il controverso servizio di tracciamento online è adesso al centro di una vertenza legale, avviata Oltreoceano da Atlas Data Privacy Corp, un’organizzazione statunitense con sede nel New Jersey che ha chiamato in tribunale gli sviluppatori di Babel Street.
Secondo Atlas Data Privacy Corp, Locate X permette di tracciare le persone con estrema precisione, monitorando i loro spostamenti all’interno di aree geografiche selezionate. Per questi motivi, nella denuncia formale presentata a ottobre 2024, si fa presente come rappresenti un rischio abnorme per la privacy di qualunque individuo a livello mondiale.
Come funziona il tracciamento in tempo reale a partire dagli ID pubblicitari
Il servizio di tracciamento LocateX si basa sui dati di localizzazione raccolti da app e siti Web quindi trasmessi alle reti pubblicitarie. Le reti pubblicitarie utilizzano queste informazioni per mettere gli inserzionisti nelle condizioni di mostrare annunci che corrispondono ai profili di consumo di consumo di loro interesse. Si pensi, ad esempio, alle persone che si trovano fisicamente all’interno di una certa area geografica.
Durante questo processo, noto come “real-time bidding“, un’enorme quantità di dati, inclusa la posizione precisa dell’utente, è trasmessa a centinaia di entità in tutto il mondo. Krebs sottolinea, facendo alcuni esempi, che un’ampia platea di soggetti può accedere a questi dati.
LocateX sfrutta proprio questa vasta disponibilità di dati di localizzazione mobile aggregandoli e rendendoli ricercabili per i suoi clienti. Gli utenti di LocateX possono disegnare un poligono digitale attorno a qualsiasi luogo su una mappa del mondo e visualizzare una cronologia degli spostamenti dei dispositivi mobili che sono entrati e usciti dall’area specificata. Krebs aggiunge che sono anche in grado di tracciare persone specifiche tramite il loro ID pubblicitario mobile (MAID), un identificatore univoco presente su tutti i dispositivi mobili Google ed Apple.
Come si possono tracciare i movimenti di una persona specifica con LocateX?
Come accennato in precedenza, Krebs racconta nel dettaglio quali sono i due modi principali per tracciare una persona specifica con LocateX:
- Geofencing: Gli utenti possono disegnare una forma su una mappa mondiale individuando l’indirizzo di casa o il luogo di lavoro di una persona. A quel punto possono visualizzare tutti i dispositivi mobili che sono passati attraverso quell’area. La funzione “modalità notturna” di LocateX consente inoltre agli utenti di determinare con precisione dove una persona dorme ogni notte, poiché il loro telefono si trova in genere nelle vicinanze.
- Tracciamento MAID: Se si conosce il MAID di una persona, è possibile inserirlo in LocateX per tracciare i suoi movimenti. I MAID possono essere ottenuti da broker di dati pubblicitari che vendono record MAID “arricchiti” con informazioni personali come nome, indirizzo, indirizzo email e profili dei social media. È un mercato fiorente, che non tutti conoscono. Inoltre, anche se non si conoscesse il MAID di una persona, è possibile dedurne la posizione tracciando i dispositivi mobili dei suoi familiari o amici stretti.
Presunta vendita non autorizzata ai privati e rischi per la sicurezza
Nonostante gli sviluppatori di LocateX affermino di vendere il servizio solo a governi e appaltatori governativi, l’investigatore privato con cui si è interfacciato Krebs sostiene di aver ottenuto una versione di prova con la semplice dichiarazione di voler lavorare per il governo in futuro. L’episodio solleva serie preoccupazioni sulla disponibilità e sull’uso improprio del servizio da parte di privati.
Il sistema di tracciamento, infatti, sembra essere stato utilizzato anche per monitorare dispositivi in luoghi riservati, come il parcheggio di un tibunale nel New Jersey, identificando potenziali giurati e seguendoli fino a casa. Un’altra donna è stata tracciata nei suoi frequenti spostamenti in clinica, per motivi personali, prendendo così a martellate qualunque normativa che oggi tutela i diritti fondamentali dei cittadini e la riservatezza dei dati che riguardano il proprio stato di salute.
Quanti smartphone Android e iOS sono tracciabili?
Secondo le risultanze delle ricerche condotte da Atlas, a un prezzo compreso tra 10 e 50mila dollari l’anno, i broker possono fornire l’accesso a decine di miliardi di “punti dati” che coprono ampie fasce della popolazione in tutto il globo. Sulla base dei set di dati acquisiti da Atlas, molti dei quali includevano vecchi record MAID, si stia che sia possibile localizzare circa l’80% dei dispositivi Android e circa il 25% degli Apple iPhone. Google si riferisce al suo MAID come “Android Advertising ID” (AAID), mentre Apple lo chiama “Identifier for Advertisers” (IDFA).
Come si spiega la disparità tra il numero di dispositivi Android e Apple che possono essere tracciati a partire dai dati pubblicitari? Ad aprile 2021, Apple ha distribuito la versione 14.5 del suo sistema operativo iOS, che ha introdotto una tecnologia chiamata App Tracking Transparency (ATT). Essa richiede alle app di ottenere il consenso esplicito degli utenti prima di poter tracciarli tramite IDFA o qualsiasi altro identificatore.
L’introduzione di ATT ha avuto un impatto rapido e profondo sul mercato pubblicitario: meno di un anno dopo, Facebook ha rivelato che la funzionalità di privacy dell’iPhone avrebbe ridotto i ricavi dell’azienda nel 2022 di circa 10 miliardi di dollari.
Le reazioni di Google ed Apple
Krebs conclude registrando le reazioni “a caldo” di Google ed Apple. La società di Mountain View ha dichiarato di “non inviare richieste di offerta in tempo reale a Babel Street” e di “non condividere dati di localizzazione precisi nelle richieste di offerta“. Ha inoltre precisato che le sue politiche “vietano espressamente la vendita di dati derivanti da offerte in tempo reale o il loro utilizzo per scopi diversi dalla pubblicità“. Inoltre, “Android offre agli utenti controlli chiari per gestire l’accesso delle app alla posizione del dispositivo e per reimpostare o eliminare il proprio ID pubblicitario“. In caso di violazione delle sue politiche, Google afferma che si attiverà per intraprendere azioni appropriate.
Apple ha sottolineato che i suoi dispositivi “non attivano i servizi di localizzazione per impostazione predefinita“. Gli utenti devono abilitare i servizi di localizzazione e dare il permesso a ciascuna app o sito Web di utilizzare i dati di localizzazione. “Riteniamo che la privacy sia un diritto umano fondamentale e integriamo protezioni della privacy in ciascuno dei nostri prodotti e servizi per dare all’utente il controllo dei propri dati“.
Credit immagine in apertura: iStock.com – Tero Vesalainen