WOT: Come un componente aggiuntivo per browser spia i propri utenti

[hashcat]

Non so se qualcuno di voi utilizza l'estensione WOT (Web of Trust, disponibile per i maggior browser). Volevo segnalare che recentemente è stato confermato che, proprio questa, registra integralmente ogni indirizzo visitato dal browser dell'utilizzatore (..., referer, etc.) e ne comunica i dati alla compagnia madre che, malgrado prometta di anonimizzarli, non lo fa. Non limitandosi a ciò, queste informazioni sensibili sembrano essere vendute, così come sono, a società di advertising.

Prima di includere alcuni link riguardanti l'argomento vorrei analizzare brevemente due porzioni della privacy policy di WOT. Premessa: non sono un avvocato. Ho evidenziato in rosso le porzioni, a mio parere, degne di nota.

Prima parte:

INFORMATION COLLECTED AND STORED

Non-Personal Information:

The information we collect is aggregated, non-personal non-identifiable information which may be made available or gathered via the users’ use of the WOT Utilities ("Non-Personal Information"). We are not aware of the identity of the user from which the Non-Personal Information is collected. We may disclose or share this information with third parties as specified below and solely if applicable. We collect the following Non-Personal Information from you when you install or use the Product or use the WOT Platform:

• Your Internet Protocol Address;
• Your geographic location (e.g., France, Canada, etc.);
• The type of device, operating system and browsers you use;
• Date and time stamp;
• Browsing usage, including visited web pages, clickstream data or web address accessed;
• Browser identifier and user ID;

Personal Information:

We do not collect from you or share any individually identifiable information, namely information that identifies an individual or may with reasonable effort be used to identify an individual ("Personal Information") when you install or use the Product. However, we might collect Personal Information solely in the following events:

• Personal Information that was voluntarily provided by you if and when you contact us, such as your name and email address, provided that such information will be used solely to communicate with and support you, and will not be shared with any third parties;

-OR-

• if you become a registered user on the WOT Platform or provide voluntarily Personal Information through the UGC (as defined below) via the various forums, all as detailed below.

TO CLARIFY, IF YOU SOLELY USE THE PRODUCT WITHOUT REGISTRATION, WE WILL NOT COLLECT, STORE OR SHARE ANY PERSONAL INFORMATION FROM YOU.

Questa sezione della privacy policy sostiene che le informazioni raccolte da WOT sono "non personali" e "non identificabili". Viene specificato che WOT non è a conoscenza dell'identità dell'utilizzatore e che le informazioni "non personali" (incluse nell'elenco puntato) vengono raccolte e possono essere condivise con terze parti. Notare come, in quest'ultimo caso, le informazioni sono state classificate solo come "non personali" e non (anche) come "non identificabili" tuttavia, anche questa classificazione, è erronea: semplicemente combinando le tre sorgenti evidenziate in rosso nell'elenco (la policy non vieta di fare ciò) è possibile identificare l'utilizzatore. Infine, almeno per quanto riguarda "Browsing usage, including visited web pages, clickstream data or web address accessed", ciò è svolto attraverso informazioni strettamente personali. Tutto ciò ovviamente collide con quanto incluso nell'ultima parte della sezione citata che, in italiano, può essere tradotta come:

PER CHIARIRE, SE LEI SI LIMITA AD UTILIZZARE IL PRODOTTO SENZA REGISTRARSI, NOI NON RACCOGLIEREMO, MEMORIZZEREMO O CONDIVIDEREMO ALCUNA SUA INFORMAZIONE PERSONALE.

Sicuramente si potrebbe a lungo cavillare riguardo alla definizione di "informazioni personali", ho riportato la mia interpretazione.



Seconda parte:

SHARING DATA WITH THIRD PARTIES

We do not share any Personal Information collected from you with third parties or any of our partners except in the following events:

• Law Requirement: we will share your information, solely to the extent needed to comply with any applicable law, regulation, legal process or governmental request (i.e., to comply with courts injunction, comply with tax authorities, etc.)
• Policy Enforcement: we will share your information, solely to the extent needed to enforce our policies (including our policies and agreements), including investigations of potential violations thereof, including without limitations, investigate, detect, prevent, or take action regarding illegal activities or other wrongdoing, suspected fraud or security issues;
• Company’s Rights: we will share your information, solely to the extent needed to establish or exercise our rights to defend against legal claims;
• Third Party Rights: we will share your information, solely to the extent needed to prevent harm to the rights, property or safety of us, our users, yourself or any third party; or (vi) for the purpose of collaborating with law enforcement agencies or in case we find it necessary in order to enforce intellectual property or other legal rights.
• Affiliated Companies: We may share your data with our parent company, any subsidiaries, joint ventures, or other companies under common control ("Affiliated Companies") solely if and when applicable or necessary for the purposes described in this Privacy Policy.
• Corporate Transaction: We may share Information, including Personal Information, in the event of a corporate transaction (e.g. sale of a substantial part of our business, merger, consolidation or asset sale). In the event of the above, our Affiliated Companies or acquiring company will assume the rights and obligations as described in this Privacy Policy.

If we combine Personal Information with Non-Personal Information, the combined information will be treated as Personal Information for as long as it remains combined.

The Non-Personal Information we collect may be used or shared in any of the above circumstances, as well as for the purpose of providing and improving our Services and enhance the users experience; or internally within the Company for business and marketing analysis or as part of Company’s aggregated data analysis services in general. In addition, we might share Non-Personal Information with third parties (such as: Google Analytics) as detailed below under the “COOKIE” section herein.

Google Analytics collects information such as how often users access the Website or WOT Utilities, what pages users visit and when, etc. We use the information we get from Google Analytics only to improve our Service. We do not combine the information collected through the use of Google Analytics with any identifiable information. Google’s ability to use and share information collected by Google Analytics about your visits to this site is restricted by the Google Analytics Terms of Use and the Google Privacy Policy. You can prevent Google Analytics from recognizing you on return visits by disabling cookies on your browser as detailed below.

Analizzando la prima sezione della porzione citata non vi è nulla di particolarmente anomalo: anche il punto evidenziato in rosso "Affiliated Companies" è piuttosto ordinario. Leggendo ancora veniamo informati che qualora fossero combinate "informazioni personali" con "informazioni non personali" ciò comporterebbe che il risultato verrebbe trattato come "informazioni personali" finchè persisterà in tale stato (informazioni combinate). Ciò sembra ragionevole ed è rassicurante ma di utilità limitata in quanto, come già scritto precedentemente, le "informazioni non personali" sono tali solo di nome e non di fatto (personali ed identificanti)...
Subito dopo si precisa che le le informazioni "non personali" raccolte potrebbero essere utilizzate o condivise internamente alla compagnia (WOT) per (ragioni di) business ed analisi di marketing (nulla di sorprendente) e con terze parti (come, ad esempio, Google Analytics - cosa meno piacevole). Infine si aggiunge che WOT non integra le informazioni raccolte tramite Google Analytics a quelle "personali": come scritto in precedenza, sarebbe un comportamento lodevole se non fosse che le informazioni classificate come "non personali" in realtà SONO "personali".



Approfondimenti:

Testate giornalistiche (non specialistiche):

• [DW - EN] - German report points to online privacy violations by add-on site
• [NDR - DE] - Nackt im Netz: Millionen Nutzer ausgespäht / Nudi nella Rete: milioni di utenti spiati (Google Translate)
• [heise - DE] - Millionen Surf-Profile: Daten stammen angeblich auch von Browser-Addon WOT / Milioni di profili di navigazione: I dati vengono presumibilmente dall'estensione per browser WOT (Google Translate)
• [SPIEGEL - DE] - Web of Trust: Beliebte Browser-Erweiterung spioniert offenbar Nutzer aus / Web of Trust: Famosa estensione spia apparentemente gli utenti (Google Translate)

Informazioni tecniche:

• [Kuketz IT-Security Blog - DE] - WOT-Addon: Wie ein Browser-Addon seine Nutzer ausspäht / WOT-Addon: Come un componente aggiuntivo per browser spia i propri utenti (Google Translate)
• [Mozilla - EN] - Bug 1314332 - Web of TrusT (WOT) Addon is malicious according to news reports
• [GitHub Gist - EN] - Analysis of WOT 20151208
• [HN - EN] - Mozilla stops distribution of WOT addon

Vorrei sottolineare che l'analisi contenuta nel GitHub Gist linkato qui sopra ha portato in luce un problema ancora più grave della violazione della privacy degli utenti perpetrata da WOT: il componente aggiuntivo (da oltre 7 anni) permette l'esecuzione di codice arbitrario da remoto: per maggiori dettagli suggerisco di consultare l'apposito link. Mi limito semplicemente a tradurre la sezione di riepilogo dell'analisi:

• Il componente aggiuntivo WOT può eseguire codice arbitrario in qualsiasi pagina web (incluse le pagine privilegiate del browser).
• Impatto e gravità: critico. Se WOT vuole, (la compagnia) può fare qualsiasi cosa: dal furto di credenziali bancarie all'installazione di malware sul computer dell'utente.
• Al momento dell'analisi questa funzionalità non era abusata.

P.S.: L'estensione è stata rimossa da Mozilla Add-ons e dal Chrome Web Store.

[CUB3]

Non utilizzo WOT, non mi è mai piaciuto. Avevo letto la notizia ma non avevo approfondito.

Sicuramente si potrebbe a lungo cavillare riguardo alla definizione di "informazioni personali"

Non sono un avvocato ma credo che con "informazione personale" o "dato personale" si intenda quel dato che consente di identificare una persona fisica (secondo il diritto, un individuo titolare di diritti e doveri). La differenza con "dato identificativo" è che, anche se consente di identificare un individuo, non si può risalire alla persona fisica.
In parole povere, il "dato personale" identifica LA persona, il dato identificativo UNA persona.

Sarebbe molto interessante avere un parere più autorevole del mio.

Leggendo ancora veniamo informati che qualora fossero combinate "informazioni personali" con "informazioni non personali" ciò comporterebbe che il risultato verrebbe trattato come "informazioni personali" finchè persisterà in tale stato (informazioni combinate).

Si arriva così al paradosso della privacy (molto comune in contensti analoghi): si deve comunicare più dati possibili per far si che questi siano trattati in maniera più riservata.

[hashcat]

Non sono un avvocato ma credo che con "informazione personale" o "dato personale" si intenda quel dato che consente di identificare una persona fisica (secondo il diritto, un individuo titolare di diritti e doveri). La differenza con "dato identificativo" è che, anche se consente di identificare un individuo, non si può risalire alla persona fisica.
In parole povere, il "dato personale" identifica LA persona, il dato identificativo UNA persona.

Sarebbe molto interessante avere un parere più autorevole del mio.

Non saprei, l'argomento è senza dubbio interessante. Leggendo QUESTO mi verrebbe da pensare che alcune delle informazioni raccolte da WOT rientrino nella categoria di "dati personali".

Si arriva così al paradosso della privacy (molto comune in contensti analoghi): si deve comunicare più dati possibili per far si che questi siano trattati in maniera più riservata.

Capisco a cosa ti riferisci (del genere: "registrati per esprimere la volontà di non essere [inserire_cosa]")... In questo caso non è proprio così: non ottieni nessuna forma di tutela in più poiché, finché si dispone di entrambe le tipologie di informazioni ("personali" e "non personali") e non le si incrocia (ma le si utilizza separatamente), quelle "personali" godono dell'ipotetica maggiore tutela che le si accorda in ragione della superiore sensibilità dei dati in questione mentre le "non personali" saranno trattate come regolato (presumibilmente con meno rigore). Nessuno vieta di operare sia su set di dati incrociati (quando ciò risulti necessario) che su set di dati "non personali" per godere della maggiore flessibilità concessa nel trattare questo genere di informazioni.
Il principio che il combinare una fonte di informazioni sensibili "A", da trattare con una politica più rigida, con una di informazioni meno sensibili "B", trattabili in maniera meno severa, porti alla classificazione secondo cui il risultato di tale operazione sia da trattare ALMENO secondo i criteri della fonte "A" (quella che richiede la procedura più rigida) SEMBRA logicamente scontato tuttavia non saprei dire se lo è ANCHE a livello legale.

[Kgiulio]

Non-Personal Information:

• Your Internet Protocol Address
• Your geographic location (e.g., France, Canada, etc.)
• The type of device, operating system and browsers you use
• Date and time stamp
• Browsing usage, including visited web pages, clickstream data or web address accessed
• Browser identifier and user ID

questa questione qui che ho citato, solo questo breve pezzetto in particolare è estremamente ambigua, in particolare ho suddiviso tra rosso e verde per il fatto che mentre sulle verdi possiamo essere d'accordo (oddio nemmeno troppo...), sulle rosse ho seri dubbi che si possano considerare informazioni non personali

stanno dicendo che ad esempio il proprio indirizzo ip esatto non è un'informazione personale, ma è veramente così?
personalmente non ho mai sentito una cosa del genere, ma se loro hanno dichiarato che per loro è così, sta poi a chi usa il loro prodotto decidere temo, non credo ci sia niente di illegale nel loro operato, avendo scritto questi termini

[CUB3]

Non sono un avvocato ma credo che con "informazione personale" o "dato personale" si intenda quel dato che consente di identificare una persona fisica (secondo il diritto, un individuo titolare di diritti e doveri). La differenza con "dato identificativo" è che, anche se consente di identificare un individuo, non si può risalire alla persona fisica.
In parole povere, il "dato personale" identifica LA persona, il dato identificativo UNA persona.

Sarebbe molto interessante avere un parere più autorevole del mio.

Non saprei, l'argomento è senza dubbio interessante. Leggendo QUESTO mi verrebbe da pensare che alcune delle informazioni raccolte da WOT rientrino nella categoria di "dati personali".

In base a quanto scritto dal Garante, che dà una definizione precisa di "dati identificativi", dovrei correggere quanto ho prima scritto: con "dato identificativo" volevo intendere "dati che possono portare ad identificare una (generica) persona". La sostanza rimane quella: la differenza (sempre secondo me) sta nel fatto che i dati personali ti identificano come persona fisica (riconosciuta dalla legge), gli altri dati identificano una persona con determinati gusti, preferenze, orientamenti, ...
Se andiamo a vedere la definizione di "dato personale" che dà la normativa europea (art. 4 comma 1) si potrebbe pensare che anche i dati di navigazione o un "user ID" rientrino nella categoria dei dati personali. Secondo me la chiave di volta è la definizione di "persona fisica" che è un soggetto di diritto e non un "semplice" individuo.
Bisogna dire un'altra cosa: una normativa che lascia spazio a dubbi ci dovrebbe far riflettere su quanto la legislazione sia rimasta indietro rispetto alle nuove tecnologie e forme di comunicazione e questo dovrebbe portare chiunque ad affrontare con maggior cautela la divulgazione dei propri dati, di qualunque natura essi siano.

In questo caso non è proprio così: non ottieni nessuna forma di tutela in più poiché, finché si dispone di entrambe le tipologie di informazioni ("personali" e "non personali") e non le si incrocia (ma le si utilizza separatamente), quelle "personali" godono dell'ipotetica maggiore tutela che le si accorda in ragione della superiore sensibilità dei dati in questione mentre le "non personali" saranno trattate come regolato (presumibilmente con meno rigore). Nessuno vieta di operare sia su set di dati incrociati (quando ciò risulti necessario) che su set di dati "non personali" per godere della maggiore flessibilità concessa nel trattare questo genere di informazioni.
Il principio che il combinare una fonte di informazioni sensibili "A", da trattare con una politica più rigida, con una di informazioni meno sensibili "B", trattabili in maniera meno severa, porti alla classificazione secondo cui il risultato di tale operazione sia da trattare ALMENO secondo i criteri della fonte "A" (quella che richiede la procedura più rigida) SEMBRA logicamente scontato tuttavia non saprei dire se lo è ANCHE a livello legale.

Non so se esiste norma specifica nel trattamento dei dati in maniera disgiunta, ma ricordo che qualche tempo fa un caso della corte europea che diceva che l'IP era un dato personale se usato dall'ISP, perchè poteva facilmente associarlo ad una persona fisica (quella che ha sottoscritto il contratto) e quindi andava trattato come tale, ma lasciava intendere che non lo è nei casi in cui questa associazione non si poteva fare.

stanno dicendo che ad esempio il proprio indirizzo ip esatto non è un'informazione personale, ma è veramente così?

Come ho scritto sopra, dovrebbe essere considerato dato personale solo se associato ad altri dati che identificanno una persona fisica.

se loro hanno dichiarato che per loro è così, sta poi a chi usa il loro prodotto decidere temo, non credo ci sia niente di illegale nel loro operato, avendo scritto questi termini

Sono daccordo con te che il primo ad interessarsi dovrebbe essere l'utilizzatore (ma quanti che hanno installato WOT avranno letto la privacy policy??) ma sbagli quando dici che non hanno fatto niente di illegale se hanno scritto quei termini: infatti non ci può essere nessun accordo che deroghi alla legge! Sia chiaro, non intendo dire che WOT ha commesso un illecito, sta ad altri giudicare, intendo solo chiarire il fatto che non si può aggirare/limitare/escludere una norma con un accordo ad hoc che sia in aperta violazione della norma stessa.

[Kgiulio]

sbagli quando dici che non hanno fatto niente di illegale se hanno scritto quei termini: infatti non ci può essere nessun accordo che deroghi alla legge! Sia chiaro, non intendo dire che WOT ha commesso un illecito, sta ad altri giudicare, intendo solo chiarire il fatto che non si può aggirare/limitare/escludere una norma con un accordo ad hoc che sia in aperta violazione della norma stessa.

bisogna vedere cosa dice di preciso la legge sulla tutela della privacy, e poi in questo caso specifico bisognerebbe dimostrare che ad esempio l'indirizzo ip è effettivamente un dato personale nonostante loro abbiano scritto di no, ma non è così semplice da dimostrare, in un tribunale per esempio, perché come dicevi appunto tu non è che quel dato identifica in modo univoco una persona fisica (ma nonostante questo secondo la mia opinione è personale ugualmente)

per questo dico che non mi sembra una cosa illegale, di certo non è per niente un comportamento corretto, senza dubbio

[fiorenzino]

Dopo quella notizia, non ho più utilizzato Wot, e ormai se ne può fare a meno: quasi tutti gli antivirus free hanno un web rep.