A meno che non veniate dalla Russia, è probabile che non conosciate un servizio che analizza l’immagine di una persona e trova il suo account sulla piattaforma social VK.com. Si tratta di FindFace. È stato introdotto a febbraio del 2016, ma di recente è diventato piuttosto popolare, grazie all’incredibile progetto fotografico di Egor Tsvetkov, fotografo di San Pietroburgo. Poco tempo fa abbiamo menzionato questo progetto in un post del blog.
Il team editoriale di Kaspersky Daily ha deciso di analizzare il servizio per vedere come funziona e quali tipi di ritratti riconosce e quali no. Volevamo sapere se è possibile scoprire una biografia dettagliata di un completo sconosciuto con l’aiuto di una foto casuale, di Internet e della moderna tecnologia.
How #bigdata turned you and me into a commodity. Try not to feel #dirty https://t.co/8yIXgsm9IY pic.twitter.com/p7khV4F95M
— Kaspersky (@kaspersky) April 22, 2016
Le conclusioni sono allarmanti: è davvero possibile. Nel corso dello studio, abbiamo anche fatto diverse scoperte interessanti; per esempio, uno dei nostri colleghi si è accorto all’improvviso che la sua identità digitale era stata rubata.
Cos’è FindFace e come funziona?
FindFace è capace di cercare gli account di VK.com partendo dalla foto di una persona. Il servizio è gratuito fino a 30 tentativi di ricerca, poi si deve pagare.
Sono disponibili app mobili per iOS e Android, oltre a una versione su Web. Le applicazioni hanno una funzionalità limitata e diversi difetti quando sono attive, ma offrono notevoli vantaggi: gli utenti possono scattare una foto e usarla immediatamente per la ricerca su FindFace.
L’app mostra le foto del profilo dei potenziali abbinamenti. Si può cliccare su ognuna di esse per scorrere tutte le immagini pubbliche sull’account dell’utente. Date un’occhiata al lavoro di Egor Tsvetkov nel progetto “Your Face is Big Data” per vedere quanto sia semplice trovare un perfetto sconosciuto.
Il servizio su Web è più utile perché vi porta immediatamente all’account VK.com che cercate. Per cercare una persona usando il sito dovrete svolgere molti altri passaggi, tipo prima copiare le foto sul vostro hard disk e poi caricarle su FindFace.ru.
Se caricate foto “ideali”, scattate quando il soggetto era in posa, tutto funziona alla grande. In ufficio, il programma ha trovato con successo 9 “vittime” su 10.
Se scattate di nascosto foto a sconosciuti per strada o in metro, l’accuratezza diminuisce di due o anche tre volte. E se caricate foto scattate da lontano, il servizio spesso è incapace di trovare un essere umano. Tuttavia, se l’immagine viene zoomata o ritagliata, FindFace funzionerà di nuovo.
How easy is it for hackers to steal your face? https://t.co/SGtYtE1y63 #digitalidentity pic.twitter.com/Cz85TxEkYt
— Kaspersky (@kaspersky) October 28, 2015
Di giorno non è difficile scattare con un comune smartphone una foto a un pedone, e che possa andar bene per Findface. Nella metropolitana vi servirà un treppiede o una buona fotocamera.
Cosa abbiamo scoperto
Se non volete essere individuati, nel vero senso della parola, da qualsiasi sconosciuto con un telefono, ci sono diverse cose che potete fare.
- Il servizio analizza le foto caricate sul profilo di VK.com, non su tutto l’account. Questo comprende la foto principale attuale e tutte le precedenti. Il social network le conserva nell’album “Le mie foto di profilo”. Va evidenziato che questo album non si può nascondere, rimane sempre pubblico. L’unica cosa che potete fare è cancellare le vecchie foto di profilo: meno ne avete in quell’album, più è difficile che l’app vi riconosca.
Consiglio: cancellate le vecchie foto. In questo album tenete solo la più recente per preservarvi dalla tirannia del riconoscimento facciale.
- È possibile impedire il riconoscimento facciale indossando cappucci o evitando di essere inquadrati dalla fotocamera o facendo in modo di essere ripresi da un’angolatura insolita. Fare le smorfie è un’altra opzione, con alcune eccezioni. Gli occhiali con la montatura funzionano alla perfezione, a meno che abbiate sul vostro profilo una foto con le stesse lenti (o con le stesse smorfie).
Tips and Tricks to Hide from #BigBrother Watchful Eye https://t.co/xJ6VqqUKuo pic.twitter.com/oeNopI12hL
— Kaspersky (@kaspersky) October 9, 2015
- Molti volontari che hanno partecipato all’esperimento, non sapevano di avere tante foto pubbliche. Hanno controllato le opzioni di privacy su “Impostazioni” ma non è bastato perché VK vi lascia limitare l’accesso solo agli album (e neanche a tutti), non a certe foto nello specifico.
Consiglio: chiedete a qualcuno che conoscete e di cui vi fidate di togliervi l’amicizia (e di ridarvela dopo il test), di esplorare il vostro account e di verificare cos’è visibile e cosa no. Quindi, se è il caso, spostate le foto dagli album pubblici a quelli privati.
- FindFace funziona in maniera del tutto legale: non nasconde dati per mostrare qualunque informazione, tra cui anche quelle nascoste dalle impostazioni del social. Quando rimuoviamo tutte le foto da VK.com, il servizio non è più in grado di trovarci durante la seconda ricerca. Tuttavia, è molto probabile che in futuro possa apparire un nuovo servizio che potrebbe comportarsi peggio: per esempio, potrebbe conservare i dati di altri popolari social network come Facebook o Instagram. Quindi è meglio controllare due volte le impostazioni di sicurezza degli altri account sui social.
Setting up your https://t.co/IQCYudiOoZ #privacy settings https://t.co/jWyNOz0yLt #global #socme pic.twitter.com/m6P4nKRMhF
— Kaspersky (@kaspersky) January 7, 2016
- FindFace si definisce un servizio di dating. Per esempio, vedete una persona attraente, scattate una foto e navigate sul suo account: ok, adesso vi serve una scusa per prendere l’iniziativa. In effetti, questo servizio vi permette di fare un sacco di cose più utili e strane.
Basta ricordare una storia rivelata di recente da ABC news: una telecamera di sorveglianza ha filmato un video di ladri mentre rapinavano una casa. Se questo fosse accaduto in un paese di lingua russa, la probabilità che i criminali avessero un account su VK.com sarebbe stata del 99%. Il servizio avrebbe potuto essere utilizzato per trovarli.
D’altra parte, molta gente sui social utilizza nomi falsi per motivi di privacy, ma pubblica foto vere. Pensano che Internet sia troppo grande e che nessuno li troverà tramite una foto. Beh, se lo si vuole, lo si fa sicuramente. Per esempio, ai datori di lavoro piace controllare le pagine sui social network dei candidati prima di un colloquio.
Il nostro impiegato come ha scoperto il furto della sua identità digitale?
Alcune persone non pubblicano foto sui social network. Per esempio, uno dei nostri impiegati si comporta così. Nonostante ciò, FindFace lo ha trovato.
Il punto è che qualcuno chiamato “Vitek Tizinksilov” ha copiato la sua foto dalla galleria di un altro utente che era pubblicata su un altro social network, e ha deciso di usarla come foto profilo.
Are your #Social photos all public? You may want to reconsider. A Tale of stolen identity. https://t.co/iXwrMP7kfI pic.twitter.com/3IxwzeQnPb
— Kaspersky (@kaspersky) January 27, 2016
Quando abbiamo provato a cercare la stessa foto su Google Images, abbiamo scoperto che questa immagine era stata usata come foto di profilo su un altro social network, Fotostrana. Non è stata affatto una piacevole scoperta.
Per cui, se non caricate nulla online, non significa che siate invisibili: potrebbero farlo i vostri amici al posto vostro. Se postano una vostra foto, o anche una di gruppo con voi, nessuno può prevedere il futuro di quest’immagine.
Consiglio: Prima che VK.com blocchi l’API (interfaccia di programmazione di un’applicazione) usata da questa app per funzionare, potete verificare se avete dei cloni sui social.
3 real-world incidents where the #internet made someone's life hell https://t.co/d50zA1j3yw pic.twitter.com/kLKFVoNGOa
— Kaspersky (@kaspersky) April 5, 2016
Disclaimer: abbiamo rimosso i dati delle persone le cui foto sono state scattate durante l’esperimento e che non hanno autorizzato la pubblicazione.