Protezione dei dati online 101: non lasciare che la grande tecnologia si arricchisca delle tue informazioni

Le informazioni personali sono la valuta da cui dipende gran parte di Internet. È raccolto ovunque, spesso all'insaputa delle persone, e paga efficacemente le bollette su molti servizi e app gratuiti che diamo per scontati. A seconda di quanto sei radicale, potresti vederlo come un commercio equo in cambio di servizi o come aziende che estraggono lavoro gratuito dalla popolazione che utilizza Internet.

L'ambito del problema

Comprendere questo ecosistema è difficile, ma rimuoverlo è ancora più difficile. Per cominciare, anni di informazioni sono già in possesso di numerosi siti legali di broker di dati.

Nel corso della stesura di questa funzionalità più lunga su come le aziende trasformano i tuoi dati in denaro, ho esaminato e acquistato informazioni da diversi broker di dati. Ho quindi fatto il punto della maggior parte delle informazioni che avevo fornito consapevolmente e inconsapevolmente ai servizi di social media. È sconcertante.

Ciò non sta nemmeno considerando il volume dei miei dati personali che è invisibile al mondo esterno, rinchiuso all'interno dei database di editori, società pubblicitarie di terze parti, siti di ricerca come Google e così via. Tali dati vengono compilati, suddivisi, tagliati a cubetti, forse resi anonimi e distribuiti interamente al di fuori del mio controllo.

Poi ci sono le informazioni che sono state rubate. Alcune di queste sono a conoscenza. Il mio numero di previdenza sociale (tra le altre cose) è stato rubato durante l'ormai leggendario hack dell'Ufficio per la gestione del personale, in cui venivano esfiltrati i dati archiviati da un importante ufficio governativo. È uno scherzo mio che la privacy non ha molta importanza per me, dal momento che il governo cinese probabilmente può controllare il mio credito.

Ma la disperazione è noiosa. Se la tecnologia mi ha messo in questo casino, posso provare a usare la tecnologia per tirarmi fuori.

Ripulire il pasticcio

Il servizio DeleteMe di Abine guarda all'interno dei siti web di broker di dati e aggregatori di record pubblici per trovare informazioni personali in vendita. Il servizio costa $ 129 all'anno per una persona e $ 229 all'anno per una seconda persona. Come per LifeLock e servizi simili, devi fornire ad Abine una buona quantità di informazioni personali per rimuoverle altrove. Poiché i broker di dati hanno requisiti diversi per la rimozione delle informazioni, Abine ti chiede di caricare un'immagine anonima del tuo ID rilasciato dallo stato.

Una manciata di questi servizi risponde istantaneamente, ma la maggior parte impiega da un giorno a una settimana per elaborare le richieste di DeleteMe. Alcuni possono richiedere fino a sei settimane, il che EliminaMe risponde al requisito di alcuni servizi di inviare una richiesta per la rimozione dei dati tramite posta ordinaria. Parte di ciò che stai pagando con DeleteMe è che qualcun altro gestisca i noiosi follow-up e il monitoraggio continuo delle informazioni personali. Le mie informazioni personali potrebbero, eventualmente, risalire a uno di questi siti.

Il ricercatore di sicurezza Troy Hunt gestisce il sito HaveIBeenPwned.com, che aggrega le informazioni dalle violazioni dei dati di massa in un servizio di ricerca. Ciò include i dati che sono stati divulgati dalle società, ma anche discariche pubbliche dei dati dai cattivi. Digita la tua e-mail e puoi vedere quali dei tuoi account sono stati esposti.

Secondo il sito, le mie informazioni sono state coinvolte in violazioni da 17 siti e tre discariche di informazioni pubbliche. Quindi i miei dati fluttuano già nel Dark Web, probabilmente vengono venduti e riconfezionati più e più volte.

Hunt non offre uno strumento per affrontare queste violazioni. Invece, dà lo stesso consiglio che farei io o qualsiasi altro professionista della sicurezza: cambiare la password in qualcosa di complesso e davvero unico e attivare l'autenticazione a due fattori (2FA).

Che cos'è 2FA? Esistono tre fattori generalmente riconosciuti per l'autenticazione: qualcosa che conosci (come una password), qualcosa che hai (come un token hardware o un telefono cellulare) e qualcosa che sei (come l'impronta digitale). Due fattori indicano che il sistema utilizza due di queste opzioni. In pratica questo significa eseguire un'altra azione, come inserire un codice a sei cifre da un'app, dopo aver inserito una password.

Per quanto riguarda le informazioni esposte nella violazione, è valida come se fosse andata. Ma è utile sapere quali sono i siti a più alto rischio. È anche un'opportunità per decidere se questi sono servizi utili. Mentre richiedi che un sito o un servizio elimini il tuo account potrebbe non funzionare sempre (alcuni lo archiviano nel caso torni), vale la pena provare.

Infine, la maggior parte dei software per la gestione delle password include strumenti per verificare la presenza di account violati e per avvisarti del riciclaggio delle password. Alcuni programmi evidenziano anche i siti in cui hai riciclato le password e le cambiano automaticamente per te.

Andando avanti

Mentre lavoravo su una mia storia più ampia, ho cercato di lasciare il più piccolo footprint di dati sul Web possibile. Non credo che sia possibile evitare qualsiasi raccolta di dati ed essere ancora A) vivo o B) un membro contribuente della moderna società americana, ma è possibile ridurre. Ed è assolutamente possibile diventare più consapevoli delle informazioni che diffondi.

Indirizzi email

L'e-mail è in circolazione da così tanto tempo che sembra banale e persino sacrificabile, ma è ancora enormemente preziosa. Gli indirizzi e-mail sono identificatori utili e un mezzo diretto di accesso ai consumatori sul Web. Mentre noi di PCMag diciamo da anni alle persone di smettere di riciclare le password e di lasciare che un gestore di password faccia il lavoro pesante, siamo rimasti in silenzio sull'argomento degli indirizzi e-mail. Una password riciclata è errata, ma anche un indirizzo e-mail riciclato è significativo. Semplicemente non c'è stato un buon strumento per gestire un sacco di indirizzi e-mail.

Abine Blur, tuttavia, è uno di questi strumenti. Dalla stessa azienda che ha creato DeleteMe, Blur è una suite di strumenti per la privacy che include un gestore di password e indirizzi e-mail mascherati. Basta inserire un vero indirizzo e-mail sul sito Web Blur e installare l'estensione del browser. Ogni volta che ti viene richiesto di inserire un indirizzo e-mail, viene visualizzato il messaggio Sfocatura che offre un'alternativa mascherata. Le e-mail inviate al tuo indirizzo mascherato verranno inoltrate da Blur al tuo indirizzo reale. Soprattutto, è possibile generare e distruggere al volo nuovi indirizzi mascherati. È molto meglio che fare clic su annulla iscrizione e sperare.

Sto usando e-mail mascherate da alcune settimane e sono impressionato. Con due clic, ho separato un servizio dalla mia identità e ho lasciato che il mio gestore di password (utilizzo LastPass) generasse e ricordasse password lunghe e strane. Detto questo, mi sono imbattuto in alcuni siti che non avrebbero accettato gli indirizzi e-mail creati da Blur. Forse il dominio e-mail è stato inserito nella lista nera. Questa era l'eccezione, però, e ho avuto pochi problemi con il servizio.

Numeri di telefono

I numeri di telefono sono identificatori di enorme importanza, perché un numero di telefono rappresenta quasi sempre una persona, grazie ai telefoni cellulari. E a differenza di altri identificatori, gli individui devono ricevere e mantenere un numero di telefono. Ciò significa che ogni numero è, in una certa misura, verificato. Quindi è una buona idea limitare la diffusione del tuo numero di telefono.

Se puoi, rifiuta di renderlo disponibile per le app che lo richiedono. Non consentire alle app di sfogliare l'elenco dei contatti per abbinarti ai tuoi amici. Cerca di non aggiungere il tuo numero di telefono ai moduli se non assolutamente necessario.

Sfortunatamente, non possiamo mantenere i nostri numeri di telefono davvero segreti. Per prima cosa, probabilmente vorrai ricevere chiamate e messaggi di testo. Per un altro, è necessario fornire un numero di telefono ad alcune società al fine di ricevere i codici 2FA.

Puoi limitare la diffusione del tuo numero di telefono semplicemente creandone un altro. Google Voice, un servizio eccellente e in gran parte continuo, crea un numero di telefono che inoltrerà a tutti i dispositivi che desideri. Puoi effettuare e ricevere chiamate dall'app Google Voice e persino inviare e ricevere messaggi di testo. Per anni ho dato il mio numero di Google Voice invece del mio numero di telefono. Ma ho scoperto che alcuni servizi 2FA non accettano un numero di Google Voice.

Un account Abine Blur può anche essere usato per creare numeri di telefono usa e getta. Effettuare una chiamata con il tuo numero da Abine costa $ 0, 01 per la connessione e $ 0, 01 al minuto, che è una piccola patata rispetto ai $ 3, 00 di crediti di chiamata che ti vengono dati ogni mese.

Sia Google Voice che Abine Blur ti limitano a un numero di telefono fittizio. L'app Burner, tuttavia, ti consente di creare e distruggere numeri a tuo piacimento. Non ho testato questa app e non posso parlare della sua efficacia o sicurezza, ma è un'idea davvero accurata.

Modalità di pagamento

Le carte di credito sono estremamente convenienti, ma a differenza dei contanti, lasciano tracce di carta. La banca emittente o la società emittente della carta di credito ha un elenco di tutto ciò che hai acquistato. E come i numeri di telefono, ogni carta è solitamente legata a un singolo individuo. Richiedono anche qualche sforzo per ottenere e mantenere.

Consiglio alle persone di evitare di usare le carte di debito il più possibile, semplicemente perché hai più protezioni per i consumatori con una carta di credito. Ma per la privacy e la sicurezza, ti consiglio di evitare di utilizzare il tuo numero di carta di credito quando possibile. Questo è facile da fare se si dispone di uno smartphone Apple o Android recente. Le app di pagamento mobile come Apple Pay, Google Pay e Samsung Pay tokenizzano tutte le informazioni sulla tua carta di credito e debito. Cioè, creano un numero falso collegato al tuo numero di carta effettivo.

Puoi estendere questa stessa protezione ad altri contesti con le carte di credito mascherate di Abine Blur. Con Blur, puoi generare rapidamente una carta di credito prepagata con un nome falso e un indirizzo di fatturazione. L'importo minimo è di $ 10, ma puoi richiedere un rimborso per tutti i soldi sulle tue carte mascherate che non usi. Puoi anche creare e distruggere le carte mascherate a piacimento, il che significa che lasci poca traccia dai tuoi acquisti su un sito Web o sull'estratto conto della tua carta di credito.

Tracker Blockers

Mentre ti sposti sul Web, i siti ti assegnano tracker e cookie. Alcuni di questi consentono al sito di ricordare chi sei e offrire un'esperienza personalizzata ogni volta che ti fermi. È utile se, ad esempio, si regola sempre la dimensione del testo su un sito di notizie. Ma altri cookie e tracker vengono utilizzati per tracciare i tuoi movimenti sul Web per osservare le tue abitudini o indirizzare gli annunci.

Fortunatamente, puoi bloccare molti tracker e cookie utilizzando un numero qualsiasi di bloccanti di annunci e tracker. Preferisco Privacy Badger della Electronic Frontier Foundation (EFF), ma ce ne sono molti altri. Ghostery, TunnelBear e Abine Blur sono buone opzioni e sono disponibili anche diversi blocchi di annunci per iOS e Android.

Si noti che l'utilizzo di questi bloccanti può talvolta rompere i siti Web. Un blocco potrebbe, ad esempio, impedire a un sito di comunicare con il servizio che archivia tutte le sue immagini oppure potrebbe impedire l'invio di un modulo online. Privacy Badger e altri includono gli interruttori per ciascuno dei tracker e dei cookie di un sito, che consentono di inserire nella whitelist, nella blacklist o consentire temporaneamente un singolo servizio. Puoi anche impostare la maggior parte dei bloccanti per autorizzare un intero sito.

Clienti e servizi di posta elettronica

Google afferma che non effettua più ricerche nelle caselle di posta di Gmail per eseguire il retarget degli annunci, ma sembra che AOL e Yahoo potrebbero ancora farlo. Inoltre, molte e-mail di aziende e servizi contengono tracker e altre tecnologie che monitorano se i loro messaggi passano e ti tengono traccia quando fai clic su un link dall'e-mail. Parte di questo viene fatto con contenuto remoto, ovvero elementi che sono memorizzati altrove sul Web ma richiamati dall'e-mail che si riceve. Quando si caricano gli elementi remoti, chiunque abbia inviato l'e-mail sa che è riuscito a superarlo.

ProtonMail (dai creatori di ProtonVPN) è un servizio di posta elettronica crittografato che non fa soldi con i tuoi contenuti. Ciò significa che non è necessario effettuare il retargeting degli annunci e nessun bot che esegue lo spidering nelle e-mail. Blocca anche il contenuto remoto nelle e-mail per impostazione predefinita, consentendo di scegliere se caricare tali elementi nella posta in arrivo.

Il venerabile client di posta Thunderbird potrebbe non essere il modo più semplice per controllare la posta elettronica, ma può bloccare il contenuto remoto e i tracker incorporati. È dotato di controlli dettagliati che consentono di autorizzare gli indirizzi e-mail per i contenuti remoti, consentire temporaneamente i contenuti remoti e scegliere quali servizi possono essere caricati nei messaggi.

VPN

Grazie a una decisione del nostro Congresso di scarpe da clown, gli ISP possono ora vendere versioni anonime delle informazioni dell'utente. Questo non includerà il tuo nome e verrà aggregato con le informazioni di molti altri utenti, ma comunque: sta convertendo le tue attività online in denaro per gli ISP.

Quando usi una rete privata virtuale (VPN), il tuo ISP non può vedere cosa stai facendo online. Una VPN nasconde efficacemente anche la tua vera posizione e maschera il tuo indirizzo IP; entrambi possono essere utilizzati per identificarti online e indirizzare gli annunci nella tua direzione. PCMag consiglia NordVPN, Private Internet Access o TunnelBear per le tue esigenze VPN.

Ci sono molti pro e contro nell'uso di una VPN, di cui ho discusso a lungo nella mia copertura continua dello spazio VPN. In generale, i grandi svantaggi di una VPN sono il prezzo, l'impatto sulle prestazioni e il blocco semplicemente per l'utilizzo di una VPN.

Contenitori di Firefox

Anche se per alcuni è un tuffo nel passato, la versione più recente di Firefox è estremamente valida. Cavolo, mi ha riportato indietro usando il browser vulpine per la prima volta in quasi un decennio. Oltre alla sua velocità (e attenzione generale alla privacy), Firefox ha anche un nuovo asso nella manica: i contenitori.

I contenitori consentono di creare spazi separati per contesti diversi. Ad esempio, è possibile creare contenitori per lavoro, acquisti, attività bancarie e così via. Qualunque sito tu visiti o accedi a ciascun Contenitore (che può contenere più schede) rimane in quel Contenitore. Se hai effettuato l'accesso all'account Google del tuo ufficio nel contenitore di lavoro, non lo sarai quando passerai a un altro contenitore.

Mozilla, la società senza fini di lucro dietro a Firefox, offre anche una specifica estensione del contenitore di Facebook che mantiene tutte le attività di Facebook in un unico posto. Ciò rende molto più difficile per il gigante dei social network rintracciarti attraverso il Web. È possibile creare i propri contenitori e assegnarli a singoli siti.

Esplorare le alternative

Molte delle forze dominanti su Internet oggi sono basate su modelli di business che monetizzano i dati degli utenti. Ma se sei disposto a fare un grande cambiamento, esiste un'intera galassia di servizi che non cercano di trasformarti in banconote da un dollaro.

Negli ultimi mesi, ho cercato di esplorare alcuni dei servizi open source e incentrati sulla privacy sul web. Mentre alcuni sono nella loro infanzia, è eccitante vedere come appare il Web quando non è dopo le mie informazioni.

Usa app Web anziché app

Bill Budington, tecnico senior del personale EFF, raccomanda alle persone di provare a utilizzare le app Web invece di scaricare app dagli app store. Le app possono contenere al loro interno molte tecnologie di tracciamento complicate, a volte posizionate senza l'espressa conoscenza degli sviluppatori dell'app. Il problema è che alcuni servizi online tendono invece a spingerti verso l'utilizzo di un'app. Tumblr e, ad esempio, sono quasi inutilizzabili sul Web mobile.

DuckDuckGo

Google e Facebook dominano la raccolta e la distribuzione dei dati online. Se vuoi divorziare da Google, prova DuckDuckGo. Questo servizio non registra la tua attività di ricerca e non cerca di monetizzare le tue attività. Dispone inoltre di alcune funzioni intelligenti che Google non offre, tra cui una modalità oscura per la sua pagina di ricerca e la possibilità di passare direttamente a un risultato di ricerca di immagini.

Ho trovato alcune cose in cui Google è semplicemente migliore di DuckDuckGo. Ad esempio, Google è quasi sempre in grado di trovare un tweet basato solo sui contenuti che ricordo. DuckDuckGo, non così tanto. Ma facendo di DuckDuckGo il mio motore di ricerca predefinito in Firefox, Google è ora solo un altro strumento nella mia casella degli strumenti di Internet.

OpenStreetMap

Google Maps è, senza dubbio, una delle più grandi creazioni dell'era di Internet. Essere in grado di trovare la tua strada da un posto a praticamente qualsiasi altro posto sulla Terra da una barra di ricerca è sorprendente. Ma Google Maps negozia anche le tue attività. Quando lo usi, stai fornendo a Google la tua posizione, nonché informazioni importanti su di te, come il tuo tragitto giornaliero, le tue abitudini di viaggio e anche dove ti piace fare shopping e mangiare.

OpenStreetMap è un servizio cartografico distribuito liberamente e di provenienza popolare. Pensa a Google Maps ma open-source. Può portarti dal punto A al punto B abbastanza bene a piedi, in auto o in bicicletta. Sfortunatamente, manca le indicazioni di transito e la ricerca di attività che rendono Google Maps così magicamente utile. Ma ancora una volta, è bello avere un'alternativa nella casella degli strumenti.

Unisciti alla Federazione

Mentre sono stati fatti diversi tentativi per creare un social network etico e senza pubblicità, la maggior parte è diventata una battuta finale. La presentazione di Mastodon nel 2016 è stata un po 'diversa, almeno per me, perché il servizio era così raffinato al momento del lancio. È stata anche una grande opportunità per conoscere i social network federati: reti costituite da server diversi che comunicano tra loro.

Pensala in questo modo: puoi iscriverti a un indirizzo e-mail su un numero qualsiasi di siti Web. Yahoo, Google, Apple, ProtonMail: fai la tua scelta! Ma puoi inviare e ricevere e-mail da e verso chiunque abbia un indirizzo e-mail, indipendentemente dal servizio che ha scelto. È una rete federata. Questo è in contrasto con il design monolitico della maggior parte dei social network: sarebbe assurdo presumere che potresti usare Twitter per comunicare avanti e indietro con qualcuno su Facebook. I due servizi semplicemente non si parlano.

Ogni installazione di Mastodon (chiamata "istanza") può comunicare con qualsiasi altra istanza. Le persone che si sono registrate su Mastodon.social possono inviarmi un messaggio @ su infosec.exchange, per esempio.

La cosa davvero eccitante di questi nuovi servizi federati è che i social network radicalmente diversi possono vedersi e parlare tra loro, a condizione che utilizzino lo stesso protocollo ActivityPub open source. Ad esempio, un utente Mastodon sta sviluppando un clone di Instagram chiamato Pixelfed che un giorno si federerà con gli account Mastodon. Quando accedi al tuo account Pixelfed, è proprio come Instagram con i suoi post e follower interni. Ma un utente Mastodon potrebbe seguire il mio account Pixelfed e vedere i miei post nel loro feed Mastodon. Esistono sostituti basati su ActivityPub per YouTube, Medium e GrooveShark attualmente in varie fasi di sviluppo.

Oltre ad essere open source, i social network federati sono difficili da monetizzare. Poiché sono una rete di reti e non solo un singolo servizio, come Twitter o Facebook, nessuna organizzazione può avere una visione di ciò che accade sulla rete federata.

I social network federati sono, per la maggior parte, ancora in corso. Ma il concetto è entusiasmante e respinge l'idea che le persone debbano rinunciare ai propri dati per avere il tipo di esperienze che ci aspettiamo online.

I miei fallimenti nella demonetizzazione

Nonostante abbia cercato di limitare il più possibile il mio footprint di dati, ho trovato alcune sfide che non riuscivo proprio a superare. Il mio indirizzo di spedizione, ad esempio, è un dato molto evidente di dati personali che devo fornire su base abbastanza regolare. Potrei aprire una casella postale, ma la consegna a domicilio è qualcosa senza la quale non posso vivere.

Mentre lavoro per utilizzare una VPN ove possibile, non sono andato così lontano da installarne uno su un router e nascondere tutti i miei dispositivi dietro di esso. Ciò significa che la mia manciata di dispositivi intelligenti e console per videogiochi a casa non viene crittografata. Il mio ISP ha senza dubbio notato quanto streaming Netflix faccio e quanto tempo ho trascorso generando traffico di rete PlayStation.

Ho cercato di nascondere i miei pagamenti online il più possibile, ma non mi sono liberato di PayPal o Venmo. Questi servizi sono solo una parte troppo grande della mia vita e ignorarli significherebbe che non sarei rimborsato o sarei in grado di ripagare facilmente gli altri.

Ho resistito a Spotify per molto tempo, ma ho ceduto qualche anno fa. Non me ne pento, ma so che questa compagnia è estremamente consapevole di ciò che ascolto. È troppo difficile dire di no all'enorme catalogo che offre, e come odio per dirlo, in realtà ho trovato i consigli musicali di Spotify estremamente utili.

• Facebook per terminare gli annunci mirati creati con il data mining di terze parti Facebook per terminare gli annunci mirati creati con il data mining di terze parti
• Reddit hackerato, nonostante l'autenticazione a due fattori SMS Reddit hackerato, nonostante l'autenticazione a due fattori SMS
• Rapporto: AOL, Yahoo Scansione e-mail degli utenti, Vendi dati agli inserzionisti Rapporto: AOL, Yahoo Scansione e-mail degli utenti, Vendi dati agli inserzionisti

Continuo anche a utilizzare la mia home page di Google. Questa è la mia più grande vergogna per la privacy, perché so di non averne bisogno. So anche che registra tutto ciò che gli dico e lo rimanda a Google per l'elaborazione. Ho persino ascoltato queste registrazioni nell'app Google Home. Eppure ho tre di questi dispositivi a casa mia.

E nonostante la mia ringhiera contro le loro pratiche di raccolta dei dati, non ho cancellato i miei account Facebook o Twitter. Nel caso di Twitter, è la pressione professionale e l'insolito momento sociopolitico in cui ci troviamo gli americani. Per Facebook, è la pressione implicita dei pari contro l'improvvisa scomparsa dal mondo. È quasi come se mi togliessi da Facebook, mi allontanerei dalle menti dei miei amici e della mia famiglia. E mentre vorrei che gli inserzionisti mi dimenticassero, è un prezzo troppo alto in questo momento.