Perché il caso di Cambridge Analytica non può essere definito un 'data breach'

Sabato corso, un'indagine condotta dal New York Times, il Guardian e il cartaceo gemello Observer ha rivelato che l'azienda di data analytics che ha aiutato la campagna presidenziale di Donald Trump ha raccolto i dati Facebook di oltre 50 milioni di persone, con lo scopo di profilare gli utenti e, in ultima istanza, confezionare a loro misura tutta una serie di messaggi politici.

Nel 2014, un ricercatore ha collezionato i dati attraverso una app che chiedeva agli utenti di compilare un test sulla personalità per scopi di ricerca accademica. Circa 270.000 persone hanno acconsentito alla raccolta dei propri dati tramite il test, il cui creatore, Aleksandr Kogan, ha definito come "una banale app per Facebook." Ma grazie ai termini di servizio del social network, e l'API disponibile all'epoca, la app è riuscita a raccogliere anche i dati degli amici di queste persone. Questo ha fornito al ricercatore — che ha poi ceduto i dati a Cambridge Analytica — le informazioni sommarie riguardanti oltre 50 milioni di persone, stando a quanto dichiarato nella sua testimonianza da un ex data scientist di Cambridge Analytica.

L'Observer ha definito il caso come "uno dei più grossi data breach" di Facebook. Il Times ha fatto riferimento all'incidente parlando di "breach" solo una volta e usando il termine "leak" nel resto dell'articolo. A Motherboard crediamo che l'uso dell'espressione "data breach" in questo caso sia incorretta e possa anzi confondere i lettori.

Man mano che la notizia ha fatto eco online, diversi siti e altre pubblicazioni l'hanno definita un data breach. Diversi esperti e ricercatori in sicurezza — nonché Facebook stessa — ritengono che sia l'espressione sbagliata per descrivere quanto successo.

"È incorretto chiamarlo 'breach' secondo qualsiasi definizione ragionevole del termine," ha scritto un tweet, poi cancellato, il capo della sicurezza di Facebook Alex Stamos.

Il vice presidente di Facebook Paul Grewal ha scritto che "affermare che si tratti di un data breach è completamente erroneo," perché il ricercatore che ha creato l'app ha ottenuto i dati da "utenti che hanno scelto di iscriversi alla app e chiunque è stato coinvolto era consenziente."

Dire che "chiunque è stato coinvolto" fosse consenziente suona ingannevole, considerato che solo circa 270.000 persone su 50 milioni avevano effettuato l'accesso sulla app. Gli altri, con tutta probabilità, non avevano idea neanche che la app esistesse. E dato che Facebook cambia i termini della privacy molto spesso, neanche noi sapevano se le persone che hanno acconsentito all'uso della app avessero compreso che tipo di dati stessero cedendo. E nessuno, all'epoca, sapeva che i dati sarebbero poi stati consegnati a un'azienda di data analytics non proprio limpida, assoldata dagli addetti alla campagna di Trump.

Per quanto capiamo perché alcuni stiano definendo i dati che Kogan ha fornito a Cambridge Analytica come un breach, sulla base di quanto è stato riportato finora, crediamo che descrivere l'incidente in questo modo, almeno per ora, tragga in errore i lettori.

Parliamo di data breach da anni. Nessuno ha hackerato i server di Facebook sfruttando un bug, come è successo, per esempio, quando sono stati sottratti i dati personali di oltre 140 milioni di persone da Equifax. Nessuno ha estorto agli utenti di Facebook password per poi rubare loro i dati, come hanno fatto gli hacker russi quando sono penetrati negli account email di John Podesta e compagnia, tramite phishing.

Nel 2014, quando Kogan ha prelevato i dati di 50 milioni di persone, stava giocando secondo le regole. Al tempo, Facebook permetteva ad app di terze parti di raccogliere non solo i dati delle persone che acconsentivano a fornirli, ma anche quelli dei loro amici. L'azienda ha poi eliminato questa funzione.

Facebook sostiene che si tratti di abuso di dati, perché Kogan aveva dichiarato che li avrebbe utilizzati solo a scopo di ricerca accademica. È questo, forse, l'unico elemento di anomalia del caso.

Ovviamente, Facebook non vuole che si pensi che sia stata vittima di un grave breach nella sicurezza, come è stato per Yahoo nel 2013 e nel 2014. Siamo d'accordo con l'azienda non perché vogliamo minimizzare la portata della storia di Cambridge Analytica, ma perché la realtà è ben più pesante: questa raccolta dati era prevedibile. In altre parole, era una feature, non un bug. E per quanto il processo sfruttato da Kogan non funzioni più, Facebook raccoglie — e vende — ancora enormi quantità di dati utente.

Per dirla con le parole di Zeynep Tufekci, autrice di Twitter And Tear Gas, la strenua difesa di Facebook per cui non si è trattato di un data breach è, in realtà, una condanna in se stessa di ciò che c'è di sbagliato in Facebook e nell'industria della Silicon Valley in generale.

"Se la tua impresa costruisce una massiccia macchina di sorveglianza, i dati finiranno, prima o poi, per essere usati e abusati," ha scritto su Twitter Tufekci, professoressa dell'Università del North Carolina che si occupa dell'impatto sociale della tecnologia. "Non c'è consenso informato perché non è ragionevolmente possibile né informare né acconsentire."

Il team della sicurezza di Facebook, ha concluso Tufekci, non può mitigare il modello di impresa dell'azienda, che è asserito a raccogliere quanti più dati — nostri e dei nostri amici — possibile.

Possiamo condannare l'abuso di questi dati e le pratiche di raccolta di Facebook, senza chiamare quanto accaduto un data breach, un termine che potrebbe confondere i lettori e distrarli da quello che, a nostro avviso, è il vero problema: i giganti di Silicon Valley hanno costruito macchine di raccolta dati titaniche, senza niente che delimiti il loro utilizzo.

Questo articolo è apparso originariamente su Motherboard US.