Inchiesta Insta-Stalker: le falle nella privacy di Instagram

La condivisione delle storie pubbliche in siti terzi non autorizzati

 di Silvia Cegalin

«Dai social network puoi anche scappare ma non sarai mai invisibile» questo potrebbe essere stato il titolo alternativo a questa inchiesta.  

Ormai quasi tutti sanno che di Instagram è presente la versione web accessibile da qualunque programma per navigare in Internet e attivo su qualsiasi dispositivo, anche dai computer. Sempre in molti sanno che per chi non è iscritto al social, la società di Zuckerberg offre la possibilità di vedere i post dei profili configurati con modalità pubblica.

Profilo pubblico o privato di Instagram: cosa può vedere chi non ha un account Instagram

Chi non ha un account può visualizzare dal sito ufficiale di Instagram di un profilo pubblico le seguenti informazioni: le immagini dei post, il numero delle interazioni a ciascun post (ma non l’autore del mi piace), leggere i commenti e vedere il numero, ma non i nomi, dei follower e dei seguiti.

Se invece, al contrario, un profilo è impostato su modalità privata, ciò che vedrà chi non ha un account, è solo il numero dei post e quello dei follower e dei seguiti.

Ciò che accomuna entrambe queste due forme è che in ambedue i casi la lista con i nomi dei follower e dei seguiti è invisibile, come anche le storie. Fin qui tutto bene, perché Instagram permette di visualizzare alcuni contenuti, ma non troppi.

In apparenza, dunque, la tutela della privacy sembra essere rispettata in un compromesso che, se da una parte permette ai non iscritti di vedere i post delle pagine pubbliche, dall’altra garantisce agli utenti (anche coloro che hanno deciso di usare la modalità pubblica) di mantenere riservate alcune informazioni, come ad esempio l’elenco di chi interagisce nei loro post, la lista dei contatti e le loro storie.

Ora, se così fosse, questo articolo non avrebbe motivo di essere stato scritto.

È sufficiente fare una semplicissima ricerca in Google, o meglio in DuckDuckGo (motore di ricerca consigliabile per la preservazione dei propri dati) per rendersi conto che ciò che è stato descritto è esclusivamente limitato a ciò che si presenta visitando il sito ufficiale di Instagram, nel web infatti sono presenti siti terzi (qui in link la lista di alcuni siti terzi in parte disattivati) in cui è possibile trovare anche quelle informazioni che lo stesso sito ufficiale non rende visibili. Questi siti vengono generalmente definiti siti terzi (third party sites), e Instagram – come qualsiasi altro social network – sconsiglia e non supporta l’uso di terze parti. Nonostante ciò, siti di questo tipo continuano a essere presenti nel web, e sebbene talvolta alcuni vengano chiusi, oscurati o segnalati come nocivi, questi siti replicanti Instagram continuano ad essere numerosi, il problema quindi al momento non appare risolto.

Storie pubbliche e lista follower: le informazioni visibili sui siti terzi

Se la versione ufficiale di Instagram permette ai non iscritti la visualizzazione soltanto di alcuni contenuti, nascondendone altri, su questi siti terzi si possono visionare dati e sezioni che vanno contro l’impostazione di privacy decisa da Instagram. Ma entriamo nel dettaglio, cercando di capire quali sono le informazioni rese disponibili su questi siti.

Le prime versioni di questi siti terzi permettevano la visione di due contenuti inaccessibili dal sito ufficiale: mi riferisco alle liste con i nomi dei follower e dei seguiti, e alla possibilità di vedere chi avesse interagito in ciascun post (chi aveva messo il cuoricino tanto per intenderci). Apparentemente innocua, questa ‘possibilità’ permette in modo anonimo di curiosare, o usiamo pure il termine esatto, spiare i profili pubblici.

Per rendere più chiara l’idea facciamo un esempio: mettiamo caso che ci sia un/a ragazzo/a che non vuole essere seguita in Instagram da una determinata persona, e per questo la blocca per evitare, non solo, che questa possa richiedere il contatto, ma anche che la possa controllare captando le sue informazioni e le immagini condivise.

Ribadendo che in generale è sempre più previdente usare la modalità privata, appare evidente che permettendo una visione priva di registrazione ogni sistema di blocco utente è resa vana, se si aggiunge poi il fatto che grazie a questi siti si accede a informazioni che non dovrebbero essere visibili (lista contatti e gli autori dei “mi piace”) ciò compromette ulteriormente la riservatezza e la privacy dell’utente.

Chi è inscritto a Instagram (come qualunque altro social) dovrebbe, non solo accettare le condizioni d’uso necessarie per utilizzare il social, ma anche essere informato dei potenziali rischi che si corrono nell’inserire i propri dati, elencando anche tutte le falle e le problematiche che negli anni il sistema ha avuto (e come vedremo Instagram non ne è esente).

Una parte informativa, questa, al momento poco presente nelle comunicazioni ufficiali di Facebook, mancanza che rivela la scarsa attenzione dell’azienda di Zuckerberg verso le questioni concernenti la privacy.  

Se in passato i siti terzi concedevano di conoscere in forma anonima i follower e i seguiti, oltre agli autori delle interazioni dei profili pubblici, ad oggi, queste opzioni non sembrano essere più disponibili, al loro posto tuttavia è comparsa una funzionalità ben più inquietante.

Sto parlando della facoltà per i non iscritti di visualizzare in forma anonima le storie dei profili pubblici.

Il fatto che tutti possano vedere le storie pubbliche direttamente dal pc (strumento che spesso viene posto in antitesi a Instagram) dà l’idea di quanto i contenuti condivisi siano in possesso, non più solo dal social autorizzato, ma da servizi terzi che per prelevare i dati dell’utente non chiedono né il permesso né comunicano un’informativa. 

Una violazione di cui però si parla ancora tropo poco.

Insta-Stalker e l’incitamento al Cyberstalking

L’elemento che rende più preoccupante tutto ciò è che per presentarsi questi siti (che preferisco non citare proprio per scongiurare un uso di essi) usano il termine ‘stalkerare’, invitando i naviganti a spiare e scaricare in anonimato le storie degli utenti che non si vuole o non si possono seguire.

Per alcuni potrebbe trattarsi solo di un gioco, ma in un periodo dove il cyberbullismo e il cyberstalking aumentano, che siano disponibili siti che incitano a questa pratica comportamentale deviata e pericolosa è un fatto che dovrebbe richiamare l’attenzione dei garanti della privacy e delle piattaforme stesse, e di cui gli iscritti dovrebbero essere avvertiti.

A peggiorare le cose, inoltre, è che di questi terzi siti non si parla mai, divulgando di continuo la convinzione che le storie Instagram possano essere accessibili soltanto a chi possiede un account o ai propri follower.

La visualizzazione in anonimo delle storie pubbliche è una funzione notevolmente più nociva delle opzioni che erano presenti nelle versioni iniziali di questi siti, perché le storie (pur durando solo 24 ore) contengono per la maggior parte istantanee o filmati di eventi svolti in tempo reale, e permettono quindi allo stalker di intercettare il luogo in cui l’autore della storia potrebbe trovarsi e così captare i luoghi da lui/lei frequentati.  

Per questo è sempre raccomandato, esclusi motivi di lavoro, l’utilizzo di Instagram in modalità privata perché in questo caso i contenuti dell’utente sono maggiormente protetti.

Purtroppo, anche su questo ultimo punto in passato, precisamente nel 2018 e nel 2015, si sono registrate falle e bug nel sistema di Instagram che hanno reso accessibili e condivisibili pubblicamente storie e immagini contenute nei profili privati, indagine che è stata svolta da BuzzFeed’s Tech con  News Working Group nel 2019.

Funzionamento dei siti terzi: come fanno ad avere i nostri dati?

Compreso che gli utenti che hanno optato per un profilo pubblico rischiano che le loro immagini e i loro video siano diffusi e rimangano, anche nel tempo, in siti web di dubbia natura e non approvati dallo stesso Instagram, in questa seconda parte sarà interessante cercare di capire come potrebbero funzionare tali siti.

La domanda principale è: come fa un sito a possedere i contenuti che sono nascosti dal sito ufficiale di Instagram?

Facciamo alcune ipotesi.

Una possibilità è che questi tipi di servizi recuperino i media e i suoi dati da un account casuale. In senso lato ricorda il procedimento dei proxy in quanto A (chi visita nel sito – lo spione per capirci) passa per un entità B per giungere a C (il profilo Instagram di chi si vuole ‘stalkerare’).

Un’altra pratica che è usata per rubare informazioni dai social o dalle pagine web è il web scraping (raschiare in italiano). Una raccolta di dati attraverso software specifici che imitano la navigazione in rete umana. Il web scraping non è illegale ma è ostacolata dai proprietari delle piattaforme perché lo scopo di queste azioni informatiche è estrarre le informazioni sensibili degli utenti e rivenderli ad altre aziende. Per quanto i social siano stati vittime in passato anche di questi attacchi, è più probabile che per i siti terzi si usi il sistema proxy, o un sistema molto simile ad esso.

Il cross-posting: che cos’è?

È di queste ore intanto la notizia che la società di Zuckerberg intenda procedere con il cross-posting, una funzionalità che permetterebbe agli utenti di condividere in modo automatico le proprie storie da Facebook a Instagram (attualmente è possibile solo la versione inversa). In questo caso, considerato quanto descritto sopra, la privacy dell’utente rischia di essere ancora più compromessa, non è improbabile infatti che, con l’introduzione di questa funzionalità, nei siti terzi vengano aggiunti anche i contenuti di Facebook condivisi in cross posting. Per questo sarà bene monitorare in futuro ogni passo che farà l’azienda, sperando che nel frattempo Facebook si decida a prendere provvedimenti verso questi siti, iniziando a mettere al primo posto i propri iscritti e la loro tutela.