I profili sui social potrebbero essere nella maggior parte falsi: nel caso di Twitter, al centro di un contenzioso con Elon Musk che ha ritirato l’offerta di acquisito del social media, è plausibile che oltre l’80% degli account siano fake – e non è affatto l’unico caso. Lo sostiene Dan Woods, ex agente Cia addetto alle operazioni informatiche ed esperto del traffico bot, ovvero dei click automatizzati che partono da un programma software e non da una persona.
Al centro della controversia legale fra Twitter e Musk “troneggia il tema del traffico di bot, che conosco bene. Sulla base di questa esperienza posso affermare che il traffico di bot di Twitter è quasi certamente molto più consistente di quanto è stato pubblicamente dichiarato, anzi, forse è maggiore persino di quanto si creda internamente all’azienda”, scrive Woods evidenziando che “considerando il volume e la velocità raggiunti dalle tecnologie di automazione, la sofisticazione dei bot per cogliere nuove opportunità di profitto e la relativa mancanza di contromisure che ho riscontrato nella mia ricerca, posso giungere a una sola conclusione: con ogni probabilità, più dell’80% degli account Twitter sono in realtà bot”. E aggiunge: “In tutta onestà, credo che la situazione sia probabilmente simile a quella di tutte le organizzazioni che, pur essendo bersaglio di bot dannosi o indesiderati, non utilizzano le migliori tecnologie per eliminarli”.
L’acquisizione di follower è un incentivo al cybercrime
Negli ultimi sei anni Woods ha guidato un team di data scientist nell’analisi delle interazioni web per identificare i bot, le applicazioni a cui si rivolgono e i loro obiettivi. In media, ogni giorno, circa 2 miliardi di transazioni vengono analizzate dall’infrastruttura di Bot Defense di F5 che poi informa centinaia di aziende, che operano in tutti i settori, di quale sia il loro traffico bot.
Nel caso di Twitter un incentivo fondamentale ai fake è l’acquisizione di follower. Oggi si pensa che più follower si hanno, più interessante è il profilo e i suoi tweet, e, in effetti, gli account con il maggior numero di follower tendono a essere i più influenti.
L’obiettivo di amplificare l’influenza degli account è il punto chiave che fa sì che questo modello possa diventare interessante anche per il cybercrime. Immaginate la risonanza che si potrebbe ottenere attraverso il controllo automatizzato di milioni di account Twitter che interagiscono con gli account, reali, di personaggi pubblici e privati cittadini. È probabile che questo attragga attori nazionali altamente motivati e dotati di risorse virtualmente illimitate.
Il mercato degli account e dei retweet falsi
Su Internet sono disponibili innumerevoli servizi (in particolare nei mercati del dark/deep web) che offrono account Twitter, follower, like e retweet a pagamento.
“A scopo di ricerca ho provato questi servizi su un account Twitter da me creato”, scrive Woods. “Per meno di 1.000 dollari il mio account oggi conta quasi 100.000 follower. Una volta ho voluto twittare una completa idiozia pagando i follower perché la ritwittassero. Lo hanno fatto da account con nomi come “TY19038461038”, e seguono anche molti altri account. Ho iniziato dunque a chiedermi quanto sarebbe stato facile creare un account Twitter utilizzando l’automazione”.
Anche senza avere competenze da programmatore Woods è riuscito a scrivere uno script, per nulla sofisticato, in grado di creare automaticamente un account Twitter, che non è stato bloccato da alcuna contromisura.
La battaglia legale tra Twitter ed Elon Musk
Quella degli account falsi è una questione centrale nella battaglia legale tra Twitter ed Elon Musk, che ha mandato a monte l’acquisizione da 44 miliardi di dollari della piattaforma social proprio adducendo come motivazione la scarsa trasparenza della piattaforma nel loro calcolo. Twitter ha risposto di aver già presentato una spiegazione adeguata della sua metodologia, sostenendo che nell’esercizio fiscale 2021 gli account falsi sono stati meno del 5% degli utenti attivi monetizzatili (mDau).
I legali di Musk insistono invece sul fatto che Twitter fa muro di fronte alle richieste dei dati sui bot.
Gli avvocati del patron di Tesla e SpaceX hanno presentato alla Sec la prima comunicazione sulla terminazione dell’acquisizione l’8 luglio, sostenendo che Twitter non abbia rispettato gli obblighi previsti nel contratto. Dopo aver ingaggiato una battaglia sugli account falsi e di quelli spam hanno di recente introdotto le dichiarazioni dell‘ex capo della sicurezza informatica di Twitter, Peiter “Mudge” Zatko, come ulteriore prova del diritto a invalidare l’accordo per l’acquisizione di Twitter. Zatki ha infatti denunciato “mancanze enormi, estreme” da parte della società su privacy, sicurezza, moderazione dei contenuti e fake.
Secondo i legali di Twitter è Musk con i suoi rappresentanti a infrangere l’accordo di acquisizione “consapevolmente, intenzionalmente, materialmente”. Le due parti si affronteranno in un processo che avrà inizio il prossimo 17 ottobre.
Le aziende spesso sottovalutano il problema dei bot
Qualche anno fa un sito di social network statunitense ha adottato la soluzione di Bot Defense di F5 e ha scoperto che il 99% del proprio traffico di login era automatizzato. In generale questa soluzione ha riscontrato che in molte applicazioni l’80-99% del traffico è automatizzato e non si tratta di casi isolati, ma è comune a molte organizzazioni (retailer, istituti finanziari, telco e fast food, per citarne alcuni).
Per le aziende di social network, il numero di utenti attivi giornalieri (Dau), che è un sottoinsieme di tutti gli account, è un dato molto importante; scoprire che questo numero rappresentava in realtà una minima frazione dei Dau reali ha fatto crollare il valore dell’azienda.
Una problematica che non si applica solo ai siti di social network, la cui valutazione è determinata dal numero di utenti attivi giornalieri, ma anche ad aziende che vendono, ad esempio, prodotti e servizi ad alta domanda con scorte limitate, come biglietti per concerti, sneakers, borse firmate o smartphone.
Qui può succedere che questi prodotti si esauriscono in pochi minuti a causa dei bot, per poi essere rivenduti su un mercato secondario a prezzi decisamente gonfiati.
Una minaccia al mondo digitale
Woods chiarisce che le sue osservazioni su Twitter sono solo una sua opinione e si dice certo che la piattaforma social stia cercando di prevenire l’automazione indesiderata sulla sua piattaforma, come ogni azienda. Ma è probabile che abbia a che fare con strumenti di automazione altamente sofisticati sfruttati da attori estremamente motivati. In queste circostanze la bonifica dei bot richiede strumenti altrettanto sofisticati.
Inoltre il problema dei bot ha una dimensione ancora più ampia rispetto a qualsiasi introito pubblicitario, prezzo delle azioni o valutazione dell’azienda, perché rappresenta una minaccia al fondamento stesso del nostro mondo digitale.
Tra frodi e disinformazione, democrazie a rischio
Acconsentire alla proliferazione dei bot porta inevitabilmente a una serie massiccia di frodi che costano miliardi, afferma Woods. Lasciando che accada tutto questo si producono danni per le persone e si forniscono strumenti a nazioni e organizzazioni criminali per diffondere disinformazione, creare conflitti e persino influenzare i processi politici. Un maggior numero di frodi, una disinformazione sempre più diffusa e più conflitti hanno un impatto sulla capacità di comunicare e relazionarci in tutto il mondo.
“Se la nostra società non vuole rinunciare alle comodità, alla conoscenza, all’intrattenimento e a tutti gli altri vantaggi di Internet e di un mondo connesso e mobile, dobbiamo impegnarci per combattere il traffico automatizzato online e i bot. L’unico modo per vincere la battaglia è rispondere con un’automazione altamente sofisticata”, conclude Woods.
