In questa pillola di cybersecurity affrontiamo il tema del “web scraping”. Molti utenti potrebbero non aver mai sentito parlare di questa tecnica informatica, ma in realtà vale la pena approfondire il tema, che ci coinvolge tutti e ha grandi impatti sulla nostra vita digitale. Ecco di cosa si tratta.

Che cos’è il web scraping?

Il web scraping è una tecnica utilizzata per acquisire informazioni e dati tramite processi di scansione automatica di siti web pubblici. Nel marketing online, questa tecnica viene impiegata per monitorare specifici trend (es. parole chiave utilizzate sul web, riferimenti a specifici brand, etc.) o per agevolare il confronto tra informazioni pubblicate su vari siti (es. prezzo di un prodotto). Una semplice ricerca su Google mostra la grande varietà di soluzioni commerciali disponibili, che spesso non richiedono competenze tecniche specifiche o un’infrastruttura dedicata.

Il web scraping non è di per sé un’attività illegale. Tuttavia, con l’introduzione della normativa europea sulla privacy (GDPR), questa tecnica potrebbe configurarsi come un trattamento illecito di dati personali, in quanto l’Interessato non sarebbe adeguatamente informato circa l’utilizzo dei propri dati personali, pubblicati sul web per differenti finalità.

Questa tecnica apparentemente innocua, inoltre, sta diventando uno dei principali strumenti utilizzati nel cybercrime per raccogliere informazioni su potenziali vittime. Una volta raggiunto l’obiettivo, infatti, i cybercriminali utilizzano loro stessi i dati o li vendono al miglior offerente, in quello che sta diventando il crescente fenomeno del cybercrime-as-a-service (anche noto come “Caas”), in cui una nuova generazione di cybercriminali ha scelto di offrire i propri “servizi” e le proprie competenze tecniche a potenziali “clienti”. I dati così raccolti, vengono poi utilizzati per eventuali attacchi di phishing e spear phishing, ma anche per altri generi di frode, come il furto d’identità digitale.

Come combattere il web scraping?

Come noto, la sicurezza informatica è una catena, e ciascuna misura di sicurezza adottata contribuisce a renderla più forte. Riportiamo di seguito alcuni consigli per proteggere i propri dati e quelli della vostra azienda dal web scraping:

• Utilizzare i social network in maniera consapevole. Gran parte dei dati personali disponibili sul web sono proprio quelli che gli utenti pubblicano sui social network, come Instagram, Linkedin e Facebook. Nel mese di aprile scorso, proprio quest’ultima azienda ha denunciato di essere stata vittima di una campagna di web scraping massivo e illecito, che dal 2019 ha raccolto dati personali pubblicati da 530 milioni di utenti, compresi contatti telefonici e indirizzi di posta elettronica. Su questo tema è intervenuto il Garante per la Protezione dei Dati Personali, che ha chiesto a Facebook di rendere disponibile un servizio che consenta agli utenti in Italia di verificare se i propri dati siano stati violati. La misura più efficace contro il web scraping è quella di non pubblicare dati personali sui propri account social. Raccomandiamo inoltre di dedicare del tempo a comprendere e configurare le preferenze privacy rese disponibili dalle piattaforme social, così da limitare il più possibile l’accesso ai propri dati.

• Linee guida sull’utilizzo del web. Per le aziende, invece, raccomandiamo di limitare la superficie di attacco tramite la definizione di regole comportamentali chiare circa la diffusione di informazioni aziendali sul web da parte dei propri dipendenti. Alcune aziende, ad esempio, scelgono di non pubblicare informazioni circa ruoli e responsabilità di dettaglio, altre ancora vietano l’utilizzo degli indirizzi di posta aziendali per l’iscrizione a siti o altri servizi web non autorizzati.

Speriamo che abbiate trovato utile questa pillola di Cybersecurity, e vi invitiamo a seguirci per i prossimi approfondimenti.