Cyber, scienza e gossip / Internet

Commenta Stampa

La pagina d'informazione si ritira da concorso citroen

Informare x Resistere:"Anomalie nel sistema 1clickdonation"

Gli informatici IxR:"Errorri marchiani nel sistema di voto"


Informare x Resistere:'Anomalie nel sistema 1clickdonation'
31/10/2011, 11:10

Per mesi i ragazzi di Informare x Resistere hanno pubblicizzato in ogni modo possibile la gara di beneficenza a suon di click lanciata dalla nota casa automobilistica Citroen. L'intento era quello di vincere le vetture messe in palio dall'azienda francesce, rivenderle e con il ricavato acquistare un'ambulanza per i bimbi della comunità di Saint Martin, in Kenya.
La particolare competition, chiamata "1clickdonation", ha però palesato non poche anomalie e diverse falle nel sistema di votazione. Di seguito, quindi, riportiamo il contenuto dell'articolo esplicativo pubblicato dagli ammistratori della nota pagina d'informazione attiva da diversi anni su facebook e sul web. A seguito delle verifiche effettuate da alcuni esperti informatici di IxR, il gruppo ha deciso di non partecipare più alla gara ed in contemporanea di denunciare la scarsa trasparenza del concorso di beneficenza lanciato da Citroen.

"Quella del 23 Ottobre 2011 per Informare per Resistere è stata una lunga notte, forse la più buia e tempestosa, ma per una maniacale ricerca della verità e per il nostro assoluto proposito di essere leali con i nostri lettori e con noi stessi, ci corre l’obbligo di comunicarvi che abbiamo deciso di chiudere qui il nostro impegno per la campagna “1clickdonation”.

Si, quella stessa campagna che qualche mese fa ci ha fatto vincere una autovettura Citroen C4 Gran Picasso e che con la sua vendita (27.000 euro), ci ha permesso di raggiungere un importante traguardo per l’acquisto dell’ambulanza da destinare a “Saint Martin Kenya”.

Quella stessa ambulanza per la quale vi abbiamo torturato ed a volte urlato supplicandovi di donare un click a Fondazione Fontana che sostiene la Comunità di Saint Martin in Kenya richiamandovi con forza ad un gesto di solidarietà.

Ma andiamo per gradi.

Nella seconda tornata di votazioni, quella che mette in palio, tra le 5 organizzazioni umanitarie che hanno già vinto la prima Citroen C4 Gran Picasso, un’ ulteriore vettura “Citroen Jumpy”, ci siamo accorti, studiando i grafici giornalieri dell’andamento delle votazioni, che l’organizzazione “CO.MI.VI.S.”, nei primi 5 giorni di votazione aveva ottenuto diverse migliaia di click e che, successivamente i suoi voti crescevano in misura proporzionale ai nostri lasciando invariato il divario tra le due Onlus.

Ci è parso molto strano che una organizzazione per quanto ben organizzata e strutturata, potesse “prendere il largo” così velocemente per poi mantenere la differenza “fissa” (voto più voto meno) ed allora sono immediatamente scattati i controlli da parte del nostro staff che annovera ben 3 tra ingegneri informatici ed informatici.

Dopo alcuni giorni di studio ci è apparso chiaro come era possibile votare per un’organizzazione un numero di volte infinito, senza che fosse esercitato alcun controllo.

In pratica era possibile donare click a ripetizione senza problemi di sorta.

Abbiamo fatto due conti e ci siamo resi conto che in una situazione che potremmo definire “normale”, la Fondazione Fontana che è sostenuta dalla testata giornalistica Unimondo, che annovera quasi 400 partner internazionali tra cui Informare per Resistere, avrebbe dovuto ottenere un numero di click di gran lunga maggiore di quello che otteneva l’organizzazione “CO.MI.VI.S.” nello stesso lasso di tempo, tenuto conto inoltre che Informare Per Resistere conta un numero di visite che sfiorano i 2 milioni al mese sul sito, a cui si aggiungono oltre 200 milioni di visualizzazioni dei post sulla pagina Facebook.

Non appena scoperto “l’inghippo” abbiamo avvisato Fondazione Fontana che immediatamente si è messa in contatto con la società che gestisce 1clickdonation.

Da qui la richiesta dei tabulati di votazione a “CrowDM” (qui di seguito il link al loro sito: http://www.crowdm.com/ ), mai fatti pervenire nemmeno in forma generica (differenza tra voti tramite “like” di Facebook, genuino, e “dona”, truccato).

Pervengono invece una serie di e-mail, dalla stessa CrowDM, con le quali ammettono che ci sono diversi bug nella procedura e che stanno verificando i click fin qui donati alle varie organizzazioni e che certamente molte migliaia di voti sono tarocchi, in quanto provenienti da “navigazione anonima”, per cui saranno rimossi dai click donati.

Solo da qualche giorno i voti sono stati ricalcolati senza tuttavia fornirci alcuna spiegazione sul “come e quanto”, solo una criptica scritta: “Attenzione: a causa di un problema al sistema di conteggio dei voti provocato da agenti esterni alle organizzazioni e ai promotori dell’iniziativa,sono state riscontrate delle anomalie che ci hanno costretto a rivedere il conteggio dei click donati.”

Avevamo chiesto che la competizione fosse azzerata per ripartire dopo delle serie modifiche al codice che consentissero l’espletamento di una gara corretta.

Siamo stati “posteggiati” per più di 10 giorni, oltre che “accusati” di aver pubblicizzato il fatto che era possibile votare ogni volta che si accendeva il pc (o il router).

E qua è d’obbligo fare qualche considerazione:

- IxR ha dato pubblicità (per TUTTI: votanti per TUTTE le Onlus) ad un fatto evidente per chi ha un minimo di conoscenze informatiche.

-IxR e Fondazione Fontana, accertato che erano possibili “irregolarita” hanno immediatamente avvisato l’azienda

- Altri hanno scoperto i bug e si sono ben guardati dal renderlo pubblico.

In conclusione, tutti gli amministratori di Informare per Resistere, riunitisi, hanno deciso di astenersi dall’appoggiare la campagna “1clickdonation” di Citroen.

Crediamo nel progetto Soliweb ed abbiamo già donato 27mila euro per l’acquisto dell’ambulanza per i bimbi di Saint Martin.

Ma crediamo, prima di tutto, nell’onestà e nella lealtà.

Non sappiamo se il sistema adesso sia sicuro, non lo sappiamo perché non ce n’è stata data alcuna prova per cui non possiamo continuare a supportare una campagna che potrebbe ancora peccare di “superficialità” e non assicurare la massima trasparenza nel suo svolgimento.

Continueremo ad appoggiare la Fondazione Fontana, in tutti i suoi progetti, perchè La Fondazione, il suo Presidente Gabriele Pipinato e, soprattutto, i bambini di Saint Martin (Kenya) meritano il nostro/vostro supporto.

La Redazione di Informare per Resistere – France

Per chi fosse interessato qui di seguito si inserisce la parte tecnica della vicenda:

Il sistema di voto, sin dall’inizio, non ha previsto alcun tipo di controllo sull’indirizzo IP. Ma si limitava esclusivamente ad un controllo di veridicità di un codice captcha al 60%.
In questo modo era possibile votare utilizzando sessioni anonime del browser, anche senza cambiare indirizzo IP riavviando il pc o il modem (per chi ha una connessione con IP dinamico, tipico delle connessioni calasinghe).

Oltre 3.000 voti sul sito 1clickdonation e 5 giorni di ispezione continua sugli script che gesticono le votazioni hanno portato a queste conclusioni:

Il sistema era basato esclusivamente sul tracking cookies (rilevamento dei dati di navigazione) dei browser web piu utilizzati : Internet Explorer, Firefox, Safari ( Mac).

Non sono stati applicati paragrafi allo script che controllassero: l’indirizzo IP, Proxy, User Agent, Referred

Sono state effettuate tutte le prove di verifica prima di arrivare alle precedenti conclusioni:

Votazione tramite navigazione pulita

Votazione tramite navigazione anonima

Votazione tramite Proxy pubblici gratuiti e rintracciabili

Votazione tramite Proxy pubblici anonimo e non rintracciabili

Votazione tramite Proxy privati

Votazione tramite Server Proxy Surfing

Votazione con diversi tipi di Browser ( IE, Firefox, Safari, Google Chrome, Midori, Dooble,Opera) A dimostrazione, e prova, abbiamo realizzato un video esplicativo e subito dopo abbiamo avvisato Fondazione Fontana che ha segnalato le “anomalie” e richiesto il controllo dei voti.

GUARDA IL VIDEO

A seguito della segnalazione sono state apportate le seguenti modifiche:

Applicazione del controllo Ip

Applicazione del controllo Proxy

Applicazione de controllo su User Agent e Referred

Applicazione del Tracking Cookies anche sui browser Opera e Google Chrome, oltre che sui dispositivi Mobile ( Ipad, Iphone)

Tutti i voti tramite “Likes” sono da considerarsi genuini al 98% circa, in quanto passano dal controllo Facebook (1 account = 2 voti), il rimanente 2% si può considerare dubbio per qualche account multiplo.

È assolutamente ridicolo e lascia di stucco sapere che una società, per un progetto così importante, non prenda le più elementari precauzioni per impedire brogli nelle votazioni:

1) Conferma via email
2) Controllo sull’IP.

Non è il sistema più sicuro del mondo, ma quantomeno non rende la vita facile a chi vuole imbrogliare.

Dove sono i log?
Quale algoritmo è stato usato per certificare i voti ed eliminare quelli non corretti?
Quale è la differenza tra i “likes” (provenienti da facebook che questi controlli li applica!) e i “dona” dal sito?

Soltanto un riazzeramento dei voti e/o la pubblicazione della differenza tra i likes e i dona avrebbero potuto assicurare la dovuta trasparenza nei confronti di tutti i partecipanti.
Trasparenza che non c’è".

Commenta Stampa
di Germano Milite
Riproduzione riservata ©