Un numero crescente di utenti anonimi di X ha segnalato di aver scoperto, tramite Google Trends, che i propri nomi legali completi, mai resi pubblici online, venivano cercati da Israele poco dopo aver pubblicato critiche alle azioni militari israeliane. È già emerso che i casi documentati in un'inchiesta di MintPress News, pubblicata questa settimana, riguardano utenti di diversi Paesi e orientamenti politici, tutti accomunati da una caratteristica: avevano criticato Israele sulla piattaforma. Un utente ha riferito che il proprio nome completo, compreso il secondo nome, è stato cercato da Israele undici volte in un solo giorno, mentre un altro ha affermato che il proprio nome è stato cercato cento volte dopo aver pubblicato contenuti relativi al caso Jeffrey Epstein.
La controversia ha riportato sotto esame Au10tix, la società israeliana di verifica dell'identità che X utilizza per elaborare i documenti di identità degli utenti dal 2020. Au10tix è stata fondata nel 2002 come braccio tecnologico di ICTS International, una società di sicurezza registrata nei Paesi Bassi e costituita nel 1982 da ex membri dello Shin Bet, l'agenzia di intelligence interna israeliana, e da ex responsabili della sicurezza della compagnia aerea israeliana El Al. La società, con sede operativa a Hod HaSharon in Israele, richiede agli utenti di X che desiderano la verifica premium di caricare un documento d'identità ufficiale con fotografia e un selfie, che vengono poi trasmessi ad Au10tix per l'elaborazione biometrica. Ciò rappresenta già una questione delicata per la privacy.
Diversi dipendenti di Au10tix hanno trascorsi confermati nell'Unità 8200, l'unità di intelligence dei segnali di Israele equivalente alla NSA statunitense, che fornisce circa il 90 per cento del materiale di intelligence israeliano. Secondo profili LinkedIn pubblicamente accessibili, ex membri dell'Unità 8200 ricoprono ruoli che vanno dallo sviluppatore al responsabile delle analisi all'interno dell'azienda. È già noto che gli ex membri dell'Unità 8200 hanno fondato anche società di sorveglianza controverse, tra cui il Gruppo NSO, creatore del software spia Pegasus. Au10tix ha dichiarato di essere impegnata nel rispetto degli standard internazionali sulla privacy e di non trasferire dati a terzi, però le preoccupazioni restano elevate.
Le preoccupazioni sulla riservatezza sono aggravate da una grave violazione dei dati rivelata nel giugno 2024 da 404 Media. Un malware di tipo infostealer installato sul computer di un dipendente di Au10tix ha sottratto le credenziali di amministratore nel dicembre 2022, e tali credenziali sono state pubblicate su un canale Telegram nel marzo 2023. I ricercatori di sicurezza hanno scoperto che le credenziali erano ancora funzionanti diciotto mesi dopo, esponendo potenzialmente i nomi completi, le date di nascita, le nazionalità, i numeri identificativi e le scansioni facciali degli utenti dell'intera base clienti di Au10tix, che comprendeva anche TikTok, Uber, LinkedIn e Coinbase. La Electronic Frontier Foundation ha già avvertito più volte che i sistemi di verifica dell'identità sono fondamentalmente sistemi di sorveglianza e che tali violazioni possono portare al furto d'identità, al ricatto o alla perdita dell'anonimato. Ciò è particolarmente preoccupante perché la possibilità di abusi è già concreta e la qualità della protezione dei dati si è rivelata insufficiente.
La tempistica di queste segnalazioni è particolarmente sensibile, poiché si verificano circa una settimana dopo il lancio di attacchi militari coordinati da parte degli Stati Uniti e di Israele contro l'Iran il 28 febbraio. L'Unione Europea, il Regno Unito e lo Spazio Economico Europeo sono esclusi dal programma di verifica di X basato su Au10tix, quasi certamente perché il Regolamento Generale sulla Protezione dei Dati vieta l'invio di dati biometrici a società terze in tali condizioni. X ha già avviato una transizione parziale verso il processore di pagamenti Stripe per la verifica negli Stati Uniti nel giugno 2024, dopo che il proprietario Elon Musk ha riconosciuto i reclami degli utenti, però la società continua a utilizzare un approccio con più fornitori che include Au10tix. Gli esperti hanno sottolineato che i dati di Google Trends presentano limiti di campionamento noti che possono produrre risultati fuorvianti per ricerche a basso volume in aree geografiche piccole, il che significa che le prove, sebbene visibili sulla piattaforma, non dimostrano in maniera definitiva l'esistenza di una sorveglianza sistematica.
Commenti