Un PSA alle persone che chattano anonimamente con gli sconosciuti su internet: Non tutti gli spazi sono così privati.
Secondo il ricercatore di sicurezza Indrajeet Bhuyan, Omegle – un sito di chat online gratuito dove gli sconosciuti sono accoppiati a caso per sessioni di chat one-to-one – non è “così anonimo come dice”.
Ogni log della chat viene salvato nel server di Omegle dopo che un utente esce da una conversazione, ha detto Bhuyan in una e-mail.
“Dopo che un utente disconnette la sua chat, Omegle salva l’intero log della chat nel loro server in modo permanente,” ha detto Bhuyan.
La politica sulla privacy di Omegle afferma che “I messaggi di chat sono controllati da un sistema automatico per lo spam. In generale, i messaggi non vengono memorizzati, ma i messaggi che sono segnalati come sospetti possono essere memorizzati a tempo indeterminato, e i messaggi selezionati possono essere letti da un essere umano per migliorare il software anti-spam di Omegle, o per altri scopi di controllo della qualità.”
Omegle continua a notare che quando inizi una chat, il timestamp, l’indirizzo IP, il cookie ID “e informazioni simili per te e il tuo partner di chat” vengono registrati e possono essere utilizzati per rintracciare spammer, hacker e altri potenziali malfattori del cyberspazio, nonché per “scopi di applicazione della legge” o per compilare dati statistici. Tutti questi dati sono “tipicamente” conservati per circa 120 giorni.
Il problema qui non è che Omegle sta sostenendo che non registra le chat sulla sua piattaforma – afferma proprio nella sua politica sulla privacy che sta raccogliendo un sacco di informazioni sui suoi utenti e, sulla base del “tipicamente” buttato lì, può essenzialmente tenere tutti questi dati per tutto il tempo che vuole. Il problema è che Omegle è commercializzato come uno spazio di anonimato volontario, dove gli utenti possono sviluppare compagnia online con estranei – e a meno che non leggiate la sua politica sulla privacy, è probabile che non sappiate che la vostra chat viene registrata fin dall’inizio.
“Le persone su Omegle spesso pensano che le loro chat siano private e le chat vengono cancellate una volta che si disconnettono dalla conversazione”, ha detto Bhuyan. “A causa di questo falso senso di sicurezza, le persone spesso condividono informazioni sensibili su di esso”.
Iniziare una chat è quasi istantaneo, e a meno che un utente non legga la pagina della politica sulla privacy prima di una chat, non c’è alcuna indicazione che le informazioni siano memorizzate. E tutte queste informazioni sensibili sono suscettibili agli hacker, il che significa che queste conversazioni private potrebbero finire nelle mani sbagliate e diventare molto pubbliche. Come riportato da Hacker News, queste conversazioni registrate richiedono “poca conoscenza di hacking” per accedervi, citando lo script python di Bhuyan, Omegle-Chat-Hack, come prova che qualcuno fuori da Omegle può scaricare le conversazioni degli utenti.
Un portavoce di Omegle ha detto in una e-mail che pensano che l’hacking di Bhuyan era fattibile indovinando l’URL di un chatlog – una sequenza casuale di lettere e numeri – che un utente ha salvato.
“In pratica, questo è soprattutto una preoccupazione per i chatlog che gli utenti hanno salvato anni fa, che avevano URL più brevi che erano più facili da indovinare”, hanno detto. “Gli URL generati più recentemente dovrebbero essere molto più difficili da indovinare, ma solo per essere al sicuro, ho reso gli URL generati di recente ancora più lunghi in risposta a questo.”
Credono che quelli a rischio siano probabilmente solo gli utenti che hanno salvato i loro chatlog e quelli salvati con URL “che sono abbastanza brevi da essere indovinabili”, ma hanno ribadito che Omegle ha reso gli URL generati di recente che sono ancora più lunghi “per essere al sicuro con questo.”
19 agosto 2016, 3:01 p.m.: Questa storia è stata aggiornata.