martedì 27 marzo 2018

La lezione di oggi e lo scandalo Cambridge Analytica vs Facebook

Oggi nel corso di "Reti di Calcolatori II e Principi di Sicurezza Informatica" abbiamo completato la discussione di OAuth2, un protocollo fondamentale nella nostra vita quotidiana.

Ho dimenticato di evidenziare che questa è proprio la tecnologia alla base dell'enorme scandalo di cui sta parlando mezzo mondo, cioè il caso Cambridge Analytica-Facebook. Il caso è stato sviscerato ampiamente quindi non c'è molto da aggiungere; forse due punti di vista interessanti sono questo (descrizione di come uno sviluppatore abbia ottenuto tonnellate di dati che non gli servivano e che non pensava neanche di ottenere) e questo (analisi più ampia e profonda dei rischi potenziali per la società).

Dal nostro punto di vista ed in estrema sintesi, il problema è che quando i RO (resource owners, cioè gli utenti) assegnano ai C (applications, ad esempio Cambridge Analytica) la delega ad operare sulle proprie risorse sugli RS (resource server, ad esempio Facebook), quasi sempre lo fanno senza rendersi conto esattamente di cosa stanno facendo. Non si rendono cioè conto di quali informazioni personali stanno rendendo disponibili e cosa sia possibile fare con quelle informazioni.

Nel caso specifico Cambridge Analytica in realtà è accaduta una cosa ancora più sottile. I RO hanno fornito la delega ad una applicazione C (si chiamava thisisyourdigitallife) che aveva un certo scopo dichiarato (costruire un profilo della personalità). Poi questa applicazione ha usato i dati estratti da RS per scopi diversi da quelli dichiarati: li hanno venduti ad una terza parte (cioè Cambridge Analytica), la quale ha usato quei dati per operazioni di carattere politico.

Il problema dei C che usano la delega per uno scopo diverso da quello dichiarato lo abbiamo menzionato proprio stamani, ma mi sono dimenticato di evidenziare questo importantissimo esempio.