A che cosa si dà il consenso quando, arrivati in un sito, si clicca “accetto i cookie”?

I Cookie possono essere pericolosi?

Cosa succede quando, entrati in un sito, si clicca su “accetto i cookie”? Dando il proprio consenso si cedono delle briciole di informazioni personali, “l’oro online” per il regno pubblicitario e, purtroppo, anche per quello cybercriminale. Ce ne parla in questo articolo Giuseppina Varacalli per la rubrica “Educazione Digitale”.

di Giuseppina Varacalli, articolista di Agenzia di Stampa Giovanile

Prima di accedere ad un sito, l’utente si sarà trovato spesso di fronte alla comparsa di un banner di testo recante la seguente dicitura: “Accetta i cookie per migliorare la navigazione sul sito (…)”; alcuni domini ti permettono di accedere ai contenuti anche senza il consenso, altri no. Per poter allora accedere, in tanti casi, l’utente avrà sicuramente accettato; ma in realtà a cosa sta dando il consenso? A delle briciole di informazioni personali (‘cookie’ dall’inglese vuol dire ‘biscotto’), l’oro online per il regno pubblicitario e, purtroppo, anche per quello cybercriminale.

I cookie sono dei pezzetti di codice contenente alcune delle informazioni personali dell’utente; quest’ultimo li accetta per poter accedere al sito e/o per migliorare la navigazione.

Come si originano? Il server di un sito li manda attraverso un file di testo direttamente al browser in cui si sta navigando e, quando vengono accettati, si dà il consenso alla memorizzazione dei propri dati all’interno del dispositivo usato, nel caso si dovesse ri-accedere allo stesso.

Essi permettono di salvare dei dati personali, che possono essere la lingua, se si è una persona e non un robot, le credenziali oppure semplicemente mantengono inalterati i nostri articoli nel carrello; il tutto al fine di evitare di rimettere sempre i nostri dati all’accesso ripetuto sullo stesso dominio.

I cookie però non sono tutti uguali: essi infatti si distinguono in cookie di prima, seconda e terza parte, oltre a quelli temporanei e permanenti. Vediamo insieme la differenza e il loro funzionamento:

1) I Cookie di prima parte sono quelli creati specificatamente dal web server di un sito che, una volta accettati, permettono la memorizzazione dei dati dell’utente SOLO per quel sito e non su altri;

2) Quelli di seconda parte sono cookie creati da un’azienda (cookie di prima parte) che, mediante partnership, li trasferisce ad un’altra azienda per il suo utilizzo;

3) I cookie di terza parte sono invece pezzetti di codice creati da siti diversi rispetto a quello in cui si sta navigando ma che sono presenti in esso come annunci pubblicitari, bottoni di condivisione social, retargeting. Essi servono quindi a tracciare gli utenti sulla base delle pagine che visualizzano (grazie alla storia di navigazione di Google) e alle scelte che fanno al loro interno, per poter accumulare dei dati che serviranno a catalogare e profilare gli utenti sulla base di interessi simili e preferenze comuni. I dati serviranno a creare annunci personalizzati che compariranno agli utenti da cui loro sono già sicuri di avere un possibile riscontro. Solitamente questi cookie vengono creati da alcune agenzie pubblicitarie online (a cui molte aziende si rivolgono per sponsorizzare i propri prodotti) ed esse riescono ad essere efficaci sia sui siti dei propri clienti che su siti diversi in cui riescono a leggere il codice del server produttore;

4) Infine ma non meno importanti ci sono i cookie temporanei, quelli che vengono rimossi alla fine della navigazione sul browser ed infine quelli permanenti che rimangono archiviati nel computer per lungo termine, fino a quando non vengono rimossi dall’utente o non raggiungono un limite di “scadenza”.

Dopo averne spiegato i caratteri, torniamo alla domanda iniziale: i cookie possono essere pericolosi?

In alcuni casi, sì.

Nonostante il loro buon uso sia relativo alla migliore navigazione su un sito, essi possono essere pericolosi in quanto rappresentano un ottimo spiraglio da cui prendere informazioni personali di utenti, violando così la loro privacy la quale può essere facilmente danneggiata da un ipotetico hacker.

Quelli di terza parte poi possono veramente essere una minaccia: non essendo creati direttamente dai gestori del sito di navigazione ma appunto da “aziende terze”, queste ultime diventano la cassaforte di dati di milioni di utenti.

A tutti sarà capitato di trovare delle informazioni riguardo, ad esempio, uno smartphone e dopo poco tempo ritrovarci milioni di pubblicità dello stesso modello ma di differente matrice di produzione su ogni spazio navigato successivamente; ciò è opera di specifiche agenzie di advertising online, pagate dai proprietari di siti, che intervengono allo scopo di creare pubblicità ad utenti le cui preferenze sono già note, a seguito del loro tracciamento mediante i cookie.

Oltre a questa modalità di acquisizione, indiretta ma sempre permessa, di informazioni circa gli utenti, ci sono delle vie piuttosto sinistre per fare la medesima cosa ma attraverso un attacco informatico: si parla di cookie poisoning ossia “avvelenamento da cookie”. Ma di cosa si tratta? I siti usano i cookie per migliore la navigazione sul sito dell’utente e per capire le sue preferenze al suo interno. Prima però che questi dati, tramite i cookie, tornino direttamente al server, i cybercriminali possono intercettare questi pezzetti di codice per estrarre informazioni, falsificarli oppure modificarli creando così dei cookie contraffatti che serviranno per impersonare un utente e accedere a suoi dati aggiuntivi (possono anche essere creati da zero), operando, tra le altre cose, anche il furto d’identità di cui avevamo già parlato; il tutto è causato da una scarsa infrastruttura di sicurezza di un sito web.

Il cookie poisoning può avvenire anche tramite cross-site scripting (noto come XSS) ossia un fenomeno online in cui un aggressore individua una pagina vulnerabile di un sito, inserisce uno script dannoso e a questo punto la pagina in questione invierà tutti i cookie di sessione a quest’ultimo, permettendogli di avere i dati di tutti coloro che accetteranno i cookie sulla pagina.

Una volta avute queste informazioni, l’aggressore potrà anche fingersi direttamente l’utente-vittima, tramite i suoi account, senza che lui se ne accorga e senza inserire nessuna password. Altri metodi, oltre a quelli relativi allo XSS, possono essere: Man in the middle (l’aggressore fa da intermediario tra il browser lato client e il server web, acquisendo dati nel mentre) oppure Attacco di overflow del buffer (se un server esegue un software poco sicuro, l’hacker potrà leggere la memoria del server tra cui i suoi cookie).

Insomma, acconsentire a dei cookie non sempre è sicuro ma talvolta i banner che ci appaiono all’inizio della navigazione dei siti sono talmente insidiosi che accettarli velocemente diventa l’unica soluzione immediata per poter proseguire. La legge cosa prevede in materia di privacy, quali sono le novità a riguardo e cosa possiamo fare per salvaguardare i nostri dati personali mentre siamo in rete?

Lo scopriremo insieme nel prossimo articolo, quello dispari!

Tags: