Piove ancora sul bagnato dello scandalo del caso Facebook e Cambridge Anaytica. Gli archivi della società di marketing, contenenti i dati di 50 milioni di utenti del social network, a detta dei ricercatori di sicurezza di Upguard sarebbero stati a rischio di data breach. E la colpa sarebbe di AggregateIQ, una società canadese di digital advertising e di sviluppo software, che le investigazioni di Upguard hanno scoperto essere stato un fornitore tecnologico di Cambridge Analytica. Il condizionale è d'obbligo perché si tratta di una deduzione, benché molto chiara. Se fosse azzeccata, le preoccupazioni di privacy violata si aggraverebbero ancora di più: significherebbe che i dati di decine di milioni di persone sarebbero stati esposti non solo agli occhi indiscreti dei manovratori occulti dell'opinione pubblica, ma anche di eventuali hacker o di altri soggetti interessati a spiare.
Domiciliata a Victoria, vicino al confine fra Canada e Stato di Washington, AggregateIQ è una piccola società da una ventina di dipendenti che si occupa di raccogliere, analizzare e vendere dati estrapolati dal Web o da altre fonti. I suoi clienti sono aziende interessate a conoscere meglio la potenziale clientela, ma anche il settore dell'editoria e soprattutto tutto il mondo della politica: spin doctors, partiti, candidati alle elezioni. Fin qui nulla di illecito, ma a detta del responsabile delle ricerche di Upgard, Chris Vickery, AggregateIQ avrebbe lavorato a stretto contatto con Cambridge Analytica sia per clienti interessati a spigere verso la Brexit (con la campagna “Vote leave”) sia, nel 2016, per diversi candidati politici repubblicani (fra cui il senatore Ted Cruz e il governatore del Texas Greg Abbott).
Nei giorni scorsi il Guardian riportava la notizia di un legame fra Cambridge Analytica e AggregateIQ, che è risultata destinataria di una donazione da 625mila sterline da parte dei responsabili della campagna “Vote leave”. La società canadese si è affrettata a smentire, dichiarando sul proprio sito Internet di non essere “mai entrata in contatto con Cambridge Analytica” e di operare nel pieno rispetto delle leggi sulla raccolta dei dati e sulla privacy.
Peccato che il ricercatore di Upguard (che fra l'altro annovera in curriculum alcune scoperte notevoli) non ci creda: “Mi resta difficile pensare che non esista alcuna relazione, come loro sostengono. Ho prove convincenti del contrario”, ha dichiarato a The Register. Le indagini di Vickery hanno evidenziato l'uso di una versione customizzata di applicazioni di AggregateIQ nella campagna del senatore Ted Cruz, che nel 2016 era candidato alle primarie del Partito Repubblicano contro Trump. I 5,8 milioni di dollari ricevuti da Cambridge Analytica in cambio dei suoi servizi nella campagna elettorale di Cruz sono un indizio pesante di collegamenti possibili fra la società britannica e quella canadese.
Dal sito di Aggregate IQ
Non è tutto, perché come si diceva oltre ai sospetti legami non detti fra le due aziende c'è l'aggravante del rischio di data breach. Vickery ha individuato online un archivio appartenente ad AggregateIQ, registrato come sottodominio di GitLab e contenente un vero e proprio patrimonio di informazioni: codici software, applicazioni, dati di tracciamento degli utenti, username, password, credenziali di profili di social media e altro ancora. Informazioni che, prese tutte insieme, potrebbero essere usate per scopi pubblicitari o di propaganda, per esempio generando inserzioni personalizzate su Facebook o contattando le persone tramite telefonate e posta elettronica. Tale archivio, spiega Vickery, non era protetto da credenziali di accesso e dunque chiunque avrebbe potuto consultarlo e addirittura scaricarlo.
Va detto che non esistono evidenze di avvenuti data breach, ma il rischio possibile è già motivo di preoccupazione. Come sottolineato da Upguard, un solo leak di dati potrebbe bastare a “influenzare potenzialmente interi elettorati e forse a esporre milioni di persone a un'invasione di privacy e alla possibilità di danni da soggetti malintenzionati”.