Gli inserzionisti e i web tracker per decenni, inserendo principalmente cookie di terze parti nei browser degli utenti, sono stati in grado di aggregare le loro informazioni su tutti i siti Web che visitano. Due anni fa, diversi browser che danno priorità alla privacy degli utenti, inclusi Safari, Firefox e Brave, per impostazione predefinita hanno iniziato a bloccare i cookie di terze parti per tutti gli utenti. Ciò rappresenta un problema significativo per le aziende che inseriscono annunci sul Web per conto di altre società e si affidano ai cookie per tenere traccia delle percentuali di clic per determinare quanto devono essere pagati.
Gli inserzionisti hanno risposto aprendo la strada a un nuovo metodo per tracciare gli utenti sul Web, noto come “Contrabbando di ID utente (o UID)”, che non richiede cookie di terze parti, ma nessuno sapeva esattamente con quale frequenza questo metodo veniva utilizzato per rintracciare le persone su Internet.
I ricercatori dell’Università della California di San Diego (UC San Diego) Dipartimento di informatica e ingegneria composto da Audrey Randall, Peter Snyder (ricercatore sulla privacy presso Brave Software), Alisha Ukani, Alex C. Snoeren, Geoffrey M. Voelker, Stefan Savage e Aaron Schulman, nel loro studio intitolato: “Measuring UID Smuggling in the Wild”, hanno per la prima volta cercato di quantificare la frequenza del “Contrabbando di UID” in natura, sviluppando uno strumento di misurazione chiamato Crumb Cruncher, praticamente naviga sul Web come un normale utente, ma lungo il percorso tiene traccia di quante volte è stato tracciato tramite il “Contrabbando di UID”. I ricercatori hanno scoperto che era presente in circa l’8% delle navigazioni effettuate da Crumb Cruncher. Hanno presentato questi risultati alla Internet Measurement Conference che si è svolta dal 25 al 27 ottobre 2022 a Nizza, in Francia. Il team sta inoltre rilasciando sia il set di dati completo sia la pipeline di misurazione per l’utilizzo da parte degli sviluppatori di browser.
Audrey Randall, ricercatrice dell’Università della California di San Diego esperta in Misurazione Internet, Sicurezza, Riservatezza e Rete, ha diretto lo studio, ha detto:
«L’obiettivo principale del team è aumentare la consapevolezza del problema con gli sviluppatori di browser perché il “Contrabbando di UID” è più ampiamente utilizzato di quanto previsto, ma non sappiamo quanto rappresenti una minaccia per la privacy degli utenti. La maggior parte dei browser non è in grado di bloccarlo».
I ricercatori hanno affermato che il “Contrabbando di UID” può avere usi legittimi, ad esempio, l’incorporamento degli ID utente negli URL può consentire a un sito Web di rendersi conto che un utente ha già effettuato l’accesso, ciò significa che può saltare la pagina di accesso e passare direttamente al contenuto. È anche uno strumento utile a un’azienda che possiede siti Web con domini diversi, può utilizzarlo per monitorare il traffico degli utenti.
È anche, ovviamente, uno strumento per gli inserzionisti affiliati per monitorare il traffico e ricevere pagamenti, ad esempio, un blogger che pubblicizza un prodotto utilizzando link di affiliazione potrebbe ricevere una commissione se qualcuno fa clic sui suoi link e poi effettua un acquisto. Il “Contrabbando di UID” può identificare quale blogger dovrebbe ottenere la commissione, ma ci sono usi potenzialmente più pericolosi di cui i ricercatori si preoccupano, ad esempio, un broker di dati potrebbe utilizzare il “Contrabbando di UID” per raccogliere un database della navigazione Internet degli utenti.
I ricercatori hanno anche svolto un piccolo test in cui hanno bloccato manualmente il “Contrabbando di UID” per diverse navigazioni. Hanno scoperto che ciò ha avuto un impatto minimo sulla funzionalità del sito web. I prossimi passi potrebbero includere la creazione di uno strumento per bloccare gli UID, ma i ricercatori avvertono che questo probabilmente sarà solo un altro passo in corso in un gioco del gatto e del topo.
Audrey Randall in conclusione ha detto:
«Qualunque cosa facciamo, il gioco non finirà fino a quando non riusciremo a trovare una soluzione che consenta all’industria pubblicitaria di rimanere redditizia pur preservando la privacy degli utenti».