Yodlee, il più grande data broker americano, vende dataset enormi con le transazioni dei clienti delle principali banche. Un’inchiesta di Motherboard inchioda il mercato dei dati prodotti usando le carte di credito.
I dati delle transazioni, sulla carta, dovrebbero essere anonimizzati. Aziende e istituti di ricerca possono acquistare enormi dataset con milioni di transazioni e profili, che la Yodlee a sua volta ottiene dalle banche, dalle società di carte di credito e da alcune app partner.
Una mole sconfinata di dati
Una mole sconfinata di dati su transazioni, interessi, prestiti, oggetti acquistati, e negozi di ogni tipo. La Yodlee spiega che questi dati vengono elaborati per nascondere il proprietario di ciascuna carta di credito, almeno in teoria impedendo di risalire a chi ha acquistato cosa, quando, e dove. Ma Motherboard sostiene il contrario.
Un documento interno della Yodle proverebbe infatti che sarebbe possibile risalire ad ogni singolo utente individuale.
La politica americana ha chiesto alla FTC di aprire un’indagine sulla Envestnet
L’inchiesta di Motherboard arriva proprio al momento giusto: in questi giorni la politica americana ha chiesto alla FTC di aprire un’indagine sulla Envestnet, l’azienda che possiede il data broker Yodlee. L’accusa? Vendere i dati delle transazioni degli americani senza che questi ne abbiano la minima conoscenza e in assenza del loro consenso.
Il documento ottenuto da Motherboard evidenzia i metodi usati dal data broker per anonimizzare i dati delle persone dietro ad ogni transazione. La Yodlee rimuove le cosiddette PII (personal identifiable information) come le email, i nomi, gli indirizzi e i numeri di telefono. Mantiene tuttavia i metadati,
A rimanere intatte sono le tracce spazio-temporali, indizi che possono venire utilizzati per connettere ogni dato al suo proprietario
ha spiegato Vivek Singh, assistant professor della Rutgers University.
Le aziende che acquistano i dataset della Yoodle sono liberi di scaricarli, non sono obbligati a consultarli all’interno di un’interfaccia chiusa. Un cyber criminale potrebbe facilmente mettere le mani sul materiale attaccando uno dei clienti del data broker. A quel punto non bastano che 3 o 4 transazioni per poter ricostruire l’intero storico di una persona. In altre parole, per aver accesso a tutte le transazioni che abbia mai effettuato.