Nel 2020, Sarah Grabert e Maximilian Klein hanno avviato una class action contro Facebook, accusando l’azienda di aver mentito riguardo alle sue pratiche di raccolta dati e di aver abusivamente utilizzato le informazioni così ingannevolmente ottenute per studiare i concorrenti e combatterli in modo sleale.
Quello che vi apprestate a leggere è dunque quanto è emerso dal tribunale federale californiano che si sta occupando del caso e che ieri nel corso del procedimento ha divulgato nuovi documenti.
Stando a quanto riportato da TechCrunch, nel 2016 Facebook mise in campo un’iniziativa segreta con l’intento di catturare e decifrare le comunicazioni di rete che avvenivano tra gli utenti di Snapchat e i suoi server. Questa mossa mirava a comprendere le dinamiche comportamentali degli utenti e a posizionare Facebook in una situazione di vantaggio rispetto a Snapchat, come emerso dai documenti giudiziari resi pubblici.
Il nome in codice dell’operazione era Project Ghostbusters, un evidente richiamo al logo di Snapchat, raffigurante un fantasma. Dai documenti diffusi si apprende però anche il tentativo di Meta di allargare l’operazione ad Amazon e, più avanti, YouTube, mediante l’analisi delle interazioni di rete degli utenti con le piattaforme rivali.
Tutte queste applicazioni, però, usano dati criptografati. Come fare a entrare in possesso delle tanto agognate informazioni? Per Facebook fu necessario elaborare una strategia per eludere le misure di sicurezza dei rivali.
Tra i documenti si legge che Project Ghostbusters di Facebook faceva parte del programma IAPP (In-App Action Panel), il quale si avvaleva di metodi per “intercettare e decifrare” il traffico criptato di app proveniente dagli utenti di Snapchat, e in seguito appunto anche da quelli di YouTube e Amazon.
I documenti resi pubblici comprendono anche alcune email interne a Facebook, in cui si discutono importanti dettagli. “Ogni volta che si solleva una questione riguardante Snapchat, la risposta comune è che, a causa della loro crittografia, non disponiamo di dati analitici”, affermava Mark Zuckerberg, CEO di Meta, in un’email del 9 giugno 2016, allegata al procedimento legale. “Vista la loro rapida espansione, appare essenziale esplorare nuovi metodi per acquisire dati analitici affidabili. Forse dovremmo considerare di organizzare dei panel o sviluppare software su misura. Dovreste trovare una soluzione.”
E gli ingegneri di Facebook la soluzione la individuarono in Onavo, un servizio analogo a una VPN acquisito nel 2013. Facebook ha poi deciso di interrompere l’utilizzo di Onavo nel 2019, in seguito a un’inchiesta di TechCrunch che aveva scoperto come Facebook compensasse segretamente dei teenager per utilizzare Onavo, monitorando però tutta l’attività web degli stessi.
Dopo la comunicazione di Zuckerberg, il team di Onavo prese in carico il progetto, proponendo dopo un mese una soluzione basata sull’installazione di un kit su dispositivi iOS e Android per intercettare il traffico di determinati sottodomini, “permettendoci così di esaminare ciò che altrimenti sarebbe traffico criptato e di quantificare così l’utilizzo dell’app”, si legge in un’email del luglio 2016. “Questo metodo rientra nella strategia man-in-the-middle“.
Un’aggressione “man-in-the-middle”, oggi denominata anche attacco adversary-in-the-middle, consiste nell’intercettazione del traffico internet tra due dispositivi su una rete. Senza la criptografia, questo tipo di attacco permette agli aggressori di accedere ai dati trasmessi come username, password e altre attività app interne.
Dato che Snapchat utilizzava la crittografia per proteggere i dati scambiati tra l’app e i server, questo metodo di analisi di rete non avrebbe funzionato. Di conseguenza, gli ingegneri di Facebook suggerirono l’uso di Onavo, che una volta attivato permetteva di visualizzare tutto il traffico di rete del dispositivo prima che venisse criptato e inviato su internet.
“Ora siamo in grado di valutare con precisione l’attività all’interno dell’app” grazie alla “analisi delle metriche di Snapchat ottenute tramite la partecipazione incentivata al programma di ricerca di Onavo”, si legge in un’altra email. Successivamente, come riportato nei documenti giudiziari, Facebook ha esteso il programma includendo anche Amazon e YouTube.
All’interno di Facebook, le opinioni su Project Ghostbusters erano contrastanti. Alcuni membri del personale, tra cui Jay Parikh, all’epoca responsabile dell’ingegneria infrastrutturale, e Pedro Canahuati, responsabile dell’ingegneria della sicurezza, manifestarono le loro preoccupazioni. “Non riesco a trovare una valida giustificazione per considerare tutto ciò accettabile. Nessun addetto alla sicurezza si sentirebbe mai a suo agio con una simile pratica, a prescindere da quella che sarebbe l’opinione del grande pubblico. La maggior parte delle persone semplicemente non comprende il funzionamento di queste tecnologie”, dichiarava Canahuati in un’email inserita nei documenti del tribunale.
Ovviamente vi terremo aggiornati sugli sviluppi del procedimento, che assume ancora più valore considerando le pressioni degli Stati Uniti su ByteDance per vendere TikTok entro pochi mesi.
In nome della sicurezza nazionale, ovviamente, perché sono i cinesi quelli che ci spiano.
