Sentite questa. Immaginate di ricevere alle cinque di un sabato mattina un’email da Instagram che conferma come il cambio di password sia avvenuto correttamente. Solo che c’è un piccolo particolare… non avete effettuato alcun cambio di password! È quello che è successo ad Andrea Mainardi, il quale dopo aver ricevuto la funesta segnalazione si precipita a tentare di prendere il controllo del proprio account ma senza successo: chi gli ha cambiato la password ha subito provveduto anche a cambiare l’indirizzo email in modo da inibirne ogni tentativo di recupero tramite missiva elettronica.
Andrea, che ho avuto modo di intervistare, non si perde d’animo e contatta immediatamente il supporto di Instagram al fine di fare chiarezza e di rientrare in possesso del maltolto. Con suo grane stupore Instagram non risponde alla prima email. Silenzio assoluto. Neanche una verifica dell’identità di Andrea da parte del team di San Francisco, neanche quando lui, nei messaggi che invia successivamente, fornisce tutte le credenziali di cui dispone, numero di telefono compreso.
La storia poi si complica perché i ladri cambiano immediatamente il nickname all’account originale (che era @manniandrea) e da sabato scorso (quando è capitato il fattaccio) l’hanno cambiato per ben tre volte. Andrea riesce comunque a tenere traccia dell’account grazie all’ID. Infatti se è vero che possiamo cambiare nickname del nostro account Instagram ogni volta che lo desideriamo (rispettandone l’univocità all’interno del social network) e anche vero che alla genesi del nostro account gli viene assegnato un ID che rimarrà immutabile. L’ID in questione è il #30614509 e ci sono servizi tipo Followgram che permettono di rintracciare agevolmente il profilo disponendo di tale dato: in questo caso per esempio basta andare all’indirizzo web followgram.me/u/30614509/.
I manigoldi poi fanno di più: cambiano la bio, cancellano le foto di Andrea dove si autoritrae e tutti i commenti compromettenti… ma si guardano bene dal cancellare tutte le foto. Andrea è appassionato di fotografia e cura particolarmente le sue produzioni. Le sue foto ben si accoppiano al nickname che ora hanno scelto: @accountforsale_37k ! Proprio così. Vogliono mettere in vendita il suo account da 37 mila follower e vogliono sfruttare le sue foto accattivanti per attirare l’attenzione. Chi lo compra si porta a casa tutto il pacchetto. Uno degli ultimi nick che i ladri hanno assegnato al profilo rubato è @storm_la; probabilmente hanno optato per un profilo più basso dopo i numerosi messaggi di lamentele ricevuto dagli amici di Andrea.
Ma come è potuto accadere tutto ciò?
La prima cosa che chiedo ad Andrea è se avesse mai usato un bot… uno di quei sistemi per farsi notare su Instagram e quindi, con buona approssimazione se avete una galleria curata come quella di Andrea, guadagnare follower. Risposta affermativa. Ma cos’è un bot e come funziona?
Un bot, nel campo dei social network, è un’app, un servizio web utile per ottenere visibilità. Nel caso di Instagram i bot utilizzano il nostro profilo in modo automatico per elargire like (e in certi casi anche commenti) ad un certo gruppo di foto che possiamo selezionare tramite tag. Gli utenti che riceveranno i like ci noteranno e, se riusciamo ad elargire migliaia di like al giorno, gli utenti con cui verremo in contatto saranno dello stesso ordine di grandezza. Poi ci sono anche le botnet che attaccano i social network, ma questo è un altro argomento.
Tecnicamente, l’operazione appena descritta, potrebbe essere effettuata da qualunque servizio di terze parti, Statigram e Webstagram compresi, come ho già spiegato in passato. Sì perché quando clicchiamo sul cuoricino appiccicato sulle foto da (es.) Statigram per dare il like, di fatto è Statigram che da il like utilizzando il nostro account. Quel pezzo di codice (software) che elargisce un like, lascia un commento o segue un utente potrebbe essere lanciato da Statigram anche quando noi non siamo sulla tastiera… in modo automatico. Statigram però non lo fa e invece i bot sì.
Quindi abbiamo capito che qualunque servizio di terze parti utilizziamo per interagire con Instagram, dobbiamo per forza aver rilasciato l’autorizzazione ad operare per nostro conto. E questo avviene quando clicchiamo sull’invito (es.) “Sign in with Instagram” o “Connect with Instagram“.
Non appena fatto ciò ci potrebbe comparire una maschera che ci invita ad inserire nickname e password di Instagram (maschera di sinistra sull’immagine sopra). Attenzione! I servizi seri devono necessariamente dirottarci su una pagina (che contiene la maschera) che risiede sui server di Instagram (osservate se compare Instagram.com nella barra dell’indirizzo in alto sul browser). Altrimenti potrebbe essere una pagina finta costruita ad arte per rubarvi le credenziali. Ad Andrea deve essere successo proprio così.
La maschera di destra è invece la richiesta di autorizzazione ad operare per vostro conto che appare subito dopo l’inserimento delle credenziali. Cioè il servizio in questione può accedere alle vostra informazioni (immagini e bio), dare i like, commentare e seguire utenti a in vostra vece. Andrea mi racconta anche di come, nel recente passato, si sia ritrovato a seguire utenti contro la sua volontà. E, come abbiamo visto, questo genere di operazione può essere effettuata da qualunque servizio di terze parti senza che per forza vi sia stata rubata la password.
Quindi, riassumendo. Quando usate servizi di terze parti poco sicuri:
– Nella migliore delle ipotesi vi vendono come follower;
– Nella peggiore delle ipotesi prima vi vendono come follower e poi vi vendono l’intero account (se vi hanno intercettato la password).
Mi piace immaginare i bot truffaldini come la strega nella storia di Hänsel e Gretel… vi attirano con la possibilità di farvi guadagnare migliaia di follower (la casa fatta con i dolci) e poi quando siete belli grassi vi vendono al miglior offerente (in forno pronti per essere cucinati!).
Questa storia mi fa riflettere principalmente su una cosa. Instagram è un social network colosso da più di cento milioni di utenti attivi al mese e non può permettersi ancora di registrare utenti senza inviare la mail di conferma. Se avete notato addirittura l’app alla creazione dell’account non chiede neppure la verifica della password con il classico doppio inserimento… così se avete inserito una email errata e una password che non vi ricordate di lì a cinque minuti, avete perso l’account. Ma mi stupisce ancora di più il silenzio assordante del support di Instagram alla richiesta di aiuto da parte di un utente. Per loro siamo dei numeri e probabilmente il tempo che impiegherebbero per ripristinare l’account di Andrea per loro è energia sprecata… anche perché l’account è ancora là e per la statistica non è cambiato niente.
Vi lascio con un suggerimento ed un appello. Non vi dico di non usare i bot. La lista degli utenti suggeriti di Instagram, cioè quella lista di utenti che Instagram automaticamente suggerisce di seguire a tutti i nuovi iscritti (sulla quale è capitato di comparire un paio di volte anche a me), a mio parere è il primo grande bot legalizzato pensato proprio dai fondatori di IG. E il tanto decantato sistema meritocratico americano vacilla un po’ quando si scopre che i superuser da oltre cinquecento mila follower erano tutti amici della Jessica Zollman (aka @JayZombie) allora curatrice della suggested list ed ora socia in affari degli stessi mostri sacri da lei creati nell’agenzia di comunicazione Tinker Street. Quindi, se Instagram è la vostra passione, curate il vostro profilo e ci tenete ad aumentare l’audience, usate pure i bot. Ma, a meno che non siate in grado di programmarne uno tutto vostro, ricordatevi di:
– Revocare i servizi che vi insospettiscono accedendo all’indirizzo instagram.com/accounts/manage_access;
– Cambiare comunque la password ogni volta che accedete a qualche nuovo servizio (ricordatevi i miei consigli su come scegliere password sicure)… così al massimo vi ritroverete a seguire qualche ragazzina dalle unghie fucsia ma almeno nessuno venderà il vostro account.
Appello. Andiamo tutti a trovare i nostri amici facendo visita al profilo @storm_____ e facciamolo con l’app di Instagram. Come avete notato hanno cambiato nuovamente il nick (nel tempo in cui ho scritto l’articolo) per far perdere le tracce… ma noi siamo più furbi.
Fate così:
– Navigate con il vostro browser all’indirizzo: followgram.me/u/30614509/
– Prendere nota del nickname che stanno usando;
– Poi con l’app di Instagram fate visita al profilo;
– Ora toccate la freccia in alto a destra (quella per le segnalazioni) e toccate poi “Segnala come spam”.
Forse non servirà a restituire l’account ad Andrea ma almeno renderemo la vita un po’ più complessa ai furfanti.