Ripple, Youtube, le truffe e le responsabilità delle piattaforme

di Umberto Stentella 28—Apr—2020 / 10:42 AM

Ripple Labs ha citato in giudizio Youtube. C’entrano alcune truffe sulle criptovalute, il furto di alcuni canali e la difficoltà, anche per un’azienda multimiliardaria, di farsi ascoltare dalle grandi piattaforme tech.

Nei mesi scorsi Youtube era stato bombardato da video e banner pubblicitari che promettevano di ottenere ingenti quantità di XRP, la criptovaluta emessa dalla Ripple Labs Inc., in cambio di un pagamento in denaro.

Alcuni dei video erano stati pubblicati da canali Youtube con un forte seguito, nell’ordine delle centinaia di migliaia di iscritti. Canali che si presentavano come le pagine ufficiali dell’azienda dietro alla criptovaluta XRP, e che in alcuni casi avevano anche la spunta di verifica. Migliaia di persone, fidandosi dell’apparente legittimità dell’iniziativa, hanno fornito i loro dati personali per partecipare a queste fantomatiche lotterie.

Peccato che Ripple con queste promozioni non c’entrasse assolutamente nulla e chi ha dato i suoi dati o pagato per partecipare alle lotterie di XRP abbia perso tutto. Si trattava di una truffa.

Ora Ripple accusa Youtube di aver “inspiegabilmente e deliberatamente fallito” nel tutelare il suo brand e quello del suo CEO da quelle che dovevano fin da subito apparire come delle evidenti frodi.

Questa frode —spesso chiamata in modo perplimente ‘the XRP1Givewaway”— è un attacco nei confronti del brand di Ripple, alla reputazione del Sig. Garlinghouse e a tutti i proprietari di token XRP nel mondo.

La truffa si è diffusa grazie ad attacchi phishing di massa, account Youtube hackerati e all’impersonificazione di Garlinghouse e dei marchi registrati della Ripple.

Ma è stata possibile anche grazie alla compiacenza di Youtube e nel suo rifiuto di prendere seriamente le ripetute richieste di azione da parte della Ripple.

Scrivono i legali dell’azienda nell’atto di citazione.

I criminali hanno agito indisturbati per mesi, nonostante i reclami della Ripple

I criminali erano riusciti ad accedere ad alcuni popolari canali Youtube che, una volta rubati, erano stati tutti camuffati per sembrare account ufficiali della Ripple o del suo CEO, Brad Garlinghouse.

I truffatori, sostengono i ricorrenti, hanno agito indisturbati per mesi, con gli ultimi contenuti caricati al mese scorso. Ma Ripple aveva denunciato il problema a Youtube già lo scorso novembre, e nel frattempo l’azienda aveva mandato ben 350 reclami a Youtube e Google. Reclami che sono stati in larga parte ignorati.

I truffatori erano riusciti a far assegnare ad almeno uno dei canali rubati la spunta di verifica

Ma questa, sostiene l’azienda, è solo un aggravante, perché Youtube avrebbe dovuto accorgersi in autonomia della natura truffaldina di questi contenuti: Google deve approvare ogni banner pubblicitario prima che questo venga mostrato su Youtube o sugli altri canali di AdSense; inoltre i truffatori erano riusciti a far assegnare ad uno dei canali rubati la spunta di verifica.

Significa che migliaia di persone hanno visto i video dei truffatori pensando che facessero realmente parte di un’iniziativa della Ripple. Del resto era la stessa Youtube a garantire la legittimità delle promozioni.

E, infatti, l’azienda lamenta di aver ricevuto un numero preoccupante di messaggi di reclamo, tutti mandati da persone che hanno perso i loro soldi e pensavano di essere stati truffati dalla stessa Ripple. In almeno un caso si parla di un furto di oltre 15.000$.

Complessivamente l’azienda nella sua denuncia parla di centinaia di migliaia di dollari sottratti dai truffatori.

Nulla di tutto ciò, argomentano i legali di Ripple, sarebbe stato possibile senza le omissioni nella vigilanza (ma anche la partecipazione colposa) di Youtube.

La strategia d’attacco dei truffatori

I truffatori hanno agito in maniera tutto fuorché erratica, ma utilizzando tattiche di raggiro ponderate e che seguivano uno schema piuttosto subdolo. Il primo bersaglio erano i canali degli youtuber. I criminali sono riusciti ad ottenere le credenziali d’accesso a decine di canali di medie e grandi dimensioni mandando delle convincenti email di phishing ai content creator.

Il Phishing è una tattica per ottenere dati riservati, come le credenziali d’accesso ad un account, utilizzando esclusivamente o prevalentemente l’ingegneria sociale. Il processo non coinvolge malware di nessun tipo, i criminali riescono a farsi dare le informazioni dalla vittima semplicemente convincendola della loro buona fede, ad esempio impersonando un’azienda (Google, in questo caso), un’istituzione governativa o una banca.

Una volta ottenuto l’accesso il canale veniva ripulito di tutti i video pre-esistenti, a quel punto veniva cambiato anche il nome della pagina per dare l’idea che si trattasse di un account ufficiale di Ripple Lab o del suo CEO.

Curiosamente, i canali venivano poi riempiti di contenuti in apparenza legittimi, come reali interviste o interventi del CEO di Ripple Brad Garlinghouse. La lotteria fittizia veniva annunciata esclusivamente nel titolo del video, e poi da alcuni disclaimer in sovrapressione che invitavano il pubblico a seguire le istruzioni contenute nella descrizione del video.

Per partecipare alla lotteria i truffatori richiedevano alla vittima di inviare una cifra compresa trai 5000 XRP e 10000000 XRP. Al fine di dare un maggiore senso di autorevolezza al raggiro, i criminali avevano predisposto anche una serie di regole che, unite all’impersonificazione dell’azienda, contribuivano a rendere, ad un pubblico poco attento, ancora più verosimile l’iniziativa.

Ad esempio non era possibile partecipare alla lotteria più di una volta, ed era stato predisposto anche un tetto massimo (estremamente elevato, ci mancherebbe) alla quantità di token virtuali con cui era possibile partecipare.

Qualcosa nel processo di vigilanza di Youtube è andato incredibilmente storto

La pistola fumante che qualcosa nei processi di vigilanza di Youtube non funziona ce la fornisce il caso di un canale in particolare: MarcoStyle. A novembre del 2019, quando i criminali sono riusciti ad impossessarsene, aveva oltre 300.000 iscritti. Il legittimo proprietario non ha avuto accesso al suo canale per diverse settimane, in compenso questo ha cambiato in poco tempo nome diventando ““Edwinsyah”, mentre la foto usata era quella del CEO di Ripple Lab.

I criminali sono riusciti ad accreditarsi come i legittimi rappresentanti di Ripple Lab perfino agli occhi di Youtube, che ha assegnato al canale il badge di verifica, garantendo agli occhi del pubblico per la legittimità della pagina:

Un canale verificato è il canale ufficiale di un creator, un’artista, una società o un personaggio pubblico,

si legge nelle linee guida di Youtube.

I canali verificati consentono di distinguere i canali ufficiali da altri canali che presentano nomi simili su YouTube.

LOL, I previously couldn't get verified but NOW the hacker GOT HIS VERIFICATION?? I'm actually laughing out loud, this is so backwards. pic.twitter.com/eLrYu5t8zR

— MarcoStyle (@MarcoStyleNL) November 8, 2019

Lo stesso content creator ha notato beffardamente su Twitter che lui non era mai riuscito a farsi accreditare come canale verificato, mentre ai truffatori che hanno preso il controllo del suo canale è bastato, evidentemente, molto poco.

Perché quella di Ripple non è una storia marginale, ma ci riguarda tutti

Ora l’esito del contenzioso è tutto fuorché scontato, perché il Communications Decency Act protegge le aziende del tech, esonerandole dalla responsabilità dei contenuti pubblicati da terzi sulle loro piattaforme.

Ci sono comunque delle eccezioni per le infrazioni che riguardano la proprietà intellettuale ed è proprio su questo che punterà Ripple. Inoltre Google non si è limitata ad ospitare passivamente dei contenuti, ma ha proattivamente accettato soldi dai truffatori per ospitare sulle sue pagine dei banner pubblicitari.

Ripple ha citato in giudizio Youtube accusando l’azienda di aver violato

il Lanham Act che regola le infrazioni sulle proprietà intellettuale e i marchi registrati
le leggi e il common law dello Stato della California sulla pubblicità
L’Unfair Competition Law dello Stato della California

Negli USA si sta parlando molto di questa vicenda perché ha a che fare con il fatto che i social e le piattaforme siano diventati centrali nelle nostre vite, ma allo stesso tempo sia estremamente difficile ottenere giustizia (o anche solo attenzione) dalle aziende del Big Tech quando subiamo un danno ingiusto attraverso i loro servizi.

Se abbiamo un problema con la nostra banca o con la compagnia che ci fornisce l’elettricità possiamo prendere appuntamento in filiale o prendere un telefono e parlare con un operatore, ma se il problema nasce su piattaforme come Facebook o Youtube ricevere assistenza diventa quasi impossibile.

L’unica possibilità è quasi sempre quella di compilare un form con la speranza di ricevere risposta e la certezza che se questa arriverà, e non sarà quella in cui speravamo, non avremmo nessuna opportunità di reclamo o appello.

Quello di Ripple appare come l’esasperazione di un problema noto da tempo, e che colpisce quotidianamente le aziende e i professionisti che dipendono dalle piattaforme tech e in particolare (ma non solo) da Google.

È un problema diffuso e organico alle piattaforme della Silicon Valley.

Pensate ai media digitali che devono a Facebook e Google news gran parte del loro traffico — e quindi dei loro introiti pubblicitari. Su quest’ultimo fronte è particolarmente emblematica la disavventura di cui è stato, suo malgrado, protagonista il webmagazine milanese The Submarine.

Gli amministratori del sito verso la fine del 2019 si erano accorti di un drammatico calo nelle visualizzazioni organiche ai loro post su Facebook. Drammatico è un eufemismo per dire che, di punto in bianco, i post della loro pagina da oltre 20mila like raggiungevano un massimo di 40 (quaranta) persone. Evidentemente qualcosa non andava.

La prima e ovvia reazione è stata quella di contattare l’assistenza del social. Ma è qui che per gli amministratori di The Submarine inizia un’epopea fatta di decine di email e contatti con una mezza dozzina di dipendenti di Facebook.

In tutto questo, stando all’interessante (e per certi versi istruttivo) resoconto della rivista, si sarebbero sentiti per due volte dire che la pagina non aveva ricevuto nessuna forma di shadowban, salvo poi ricevere (per due volte, da due dipendenti diversi) un’ammissione che, sì, il ban c’era ma è stato rimosso… per poi non notare nessun cambiamento migliorativo.

Un nuovo addetto all’assistenza ha poi negato ancora una volta l’esistenza di uno shadowban, attribuendo il calo alla reach organica al fatto che la pagina avrebbe pubblicato dei link a dei siti “di bassa qualità” (quali? boh, Facebook questo non lo ha mai rivelato). Insomma, un susseguirsi di spiegazioni frammentate e caotiche che hanno lasciato The Submarine per settimane orfana di un’importante fonte del suo traffico.

Per una rivista culturale è un inferno, per un’azienda strutturata che grazie alle visite ai suoi siti ci paga gli stipendi è un massacro insostenibile che può risultare fatale.

Ripple spera di spingere Google ad un cambio radicale

Sempre più parti della società e dell’imprenditoria dipendono in maniera inscindibile dalle piattaforme tecnologiche

Sempre più parti della società e dell’imprenditoria dipendono in maniera inscindibile dalle piattaforme tecnologiche; contestualmente, proprio perché gli spazi digitali sono totalizzanti, sia perché raggiungono miliardi di persone, sia perché abbracciano sempre più elementi delle nostre vite personali e lavorative, hanno un potere d’offesa senza precedenti.

Se qualcosa si inceppa, se qualcosa inizia a fare male al nostro brand o alla nostra persona, trovarsi di fronte un muro di bot, email con risposte evasive o interventi inefficaci non è una possibilità. Non lo può essere.

La gravità del caso Ripple sembrerebbe provare che questo non è un problema esclusivo delle piccole realtà o degli utenti individuali, ma colpisce anche aziende di grosse dimensioni.

Ripple Lab, che collabora anche con istituti bancari di primo rilievo come American Express, Bank of England, Banca Intesa Sanpaolo e UniCredit, è quotata sopra i 10 miliardi di dollari.

Se anche un’azienda come Ripple Lab ha la necessità di ricorrere ad avvocati e consulenti esterni per ottenere riparazione da un torto, che possibilità hanno le organizzazioni minori che non hanno le risorse per fare altrettanto? Che possibilità hanno, poi, i truffati che vedono proprio nelle omissioni di Google almeno una piccola parte delle ragioni per cui hanno perso dei soldi?

Ripple ora spera che la sua azione porti ad un «cambio di comportamento radicale dell’industria (del tech ndr) e introduca un’aspettativa di accountability» verso i comportamenti tossici o le omissioni delle grandi piattaforme. .

Magari l’azione legale porterà ad un nulla di fatto, ma questa storia potrebbe diventare la scintilla per indurre i policy maker a cambiare il quadro normativo sulle responsabilità delle piattaforme e contestualmente le grosse piattaforme ad auto-regolarsi meglio.

Le persone che sono state truffate… non hanno le risorse per chiedere giustizia e colpire Youtube. Gli individui che hanno perso dei soldi —forse 1.000$, forse 10.000$— non faranno causa a Youtube. Queste persone si sono rivolte a me per ottenere aiuto. E io sento una responsabilità nei confronti dei membri della comunità di persone che sono state raggirate.

ha detto Garlinghouse al giornalista di The Verge Casey Newton.

Non è così che dovrebbero funzionare le cose. Nel profondo, è quasi una questione morale. Youtube ha ottenuto ricavi per 15 miliardi di dollari l’anno scorso. Mi stati dicendo che non possono investire di più nella moderazione della loro piattaforma?