Senza dilungarsi troppo sugli aspetti tecnici, vediamo questo database che ho appena creato, inserendo dei dati fittizi di alcuni utenti.
Un database dimostrativo realizzato con MySQL
Immaginiamo che questo sia un database di Facebook o di Google, e che io sia il tecnico informatico che ha l’accesso al database. Questo è come potrei vedere i vostri dati. Pensate che sia difficile? Certo, ora sto semplificando molto il concetto, ci sono comunque dei meccanismi per capire chi accede a cosa, e per restringere l’accesso in modo che solo alcune persone possano vedere solo alcuni dati.
Sappiamo bene però quanti scandali siano emersi negli ultimi tempi per violazioni della privacy anche da parte delle Big Tech. Quando ci registriamo ad un sito web, le informazioni che inseriamo non svaniscono nell’aria: rimangono registrate per anni e spesso sono anche facilmente accessibili, come in questo caso.
Basti pensare che ci sono ancora diversi applicativi soggetti a tecniche di SQL Injection, cioè un metodo che permette di ottenere informazioni da un database senza averne il permesso, oppure molte aree riservate che non usano il protocollo HTTPS, il che rende più facile intercettare i dati che inviamo con il nostro browser verso il server del sito web.
Questi dati potrebbero essere i vostri, oppure quelli dei vostri amici e parenti.
La regola d’oro è questa: meno dati riveliamo, meno rischi avremo in futuro.
Password criptate e in chiaro
Come vediamo in queste righe di database, i dati sono salvati in chiaro, non sono criptati, e se qualche malintenzionato dovesse riuscire ad ottenerli tramite, ad esempio, tecniche di SQL Injection, potrebbe vedere non solo il nome e l’email, ma anche la password.
Molte persone usano le stesse password per accedere a diversi servizi: email, social network, siti e-commerce e via dicendo.
Ecco perché è importante che almeno le password salvate sui database di un sito web siano criptate, e che l’applicativo web che usa quel database sia progettato e realizzato secondo determinate regole di sicurezza. Vi suggerisco di consultare il sito OWASP per informazioni sulle vulnerabilità dei siti web.
Questo ci aiuta a capire meglio anche l’importanza del software open source come Matomo, cioè quei software il cui codice è aperto e visibile a chiunque. Certo, non possiamo sempre fare dei software open source, ma il vantaggio è evidente: i problemi e le vulnerabilità potrebbero venire individuate dagli stessi utenti, posto che abbiano le giuste conoscenze tecniche.
