Argomenti correlati
SorveglianzaQuando è raggiunto al telefono, il titolare di un’officina in Emilia Romagna si mostra stupito. Sostiene di non aver mai sentito parlare di Pc Tattletale e spiega che non ha mai avuto «bisogno di controllare i suoi dipendenti». Sono tre. «Quindi la questione non si pone», dice l’uomo.
Eppure, il 20 gennaio 2022 proprio una mail a lui associata si è iscritta al servizio di monitoraggio di computer e smartphone da remoto. L’azienda che lo produce lo pubblicizza in rete come strumento di monitoraggio da remoto di figli e dipendenti
– il termine tattletale richiama proprio la parola inglese per indicare uno spione o un ficcanaso –, o almeno lo pubblicizzava, fino alla chiusura del servizio, nel 2023.
L’inchiesta in breve
- Gli strumenti di sorveglianza sono sempre più accessibili e offrono a chiunque la capacità di spiare partner o dipendenti. Tra questi c’era Pc Tattletale, prima che chiudesse in seguito a un attacco informatico che ha rivelato identità e bersagli dei propri clienti
- Tra questi anche un centinaio di casi italiani, tra utenti che volevano sorvegliare i propri figli ad altri che si sono rivolti alla piattaforma per spiare i propri dipendenti. In un episodio sembra essere coinvolto il titolare di un’officina in Emilia Romagna
- Anche InnovaPuglia è collegata al leak di informazioni di Pc Tattletale. Uno degli account associati al servizio è stato creato proprio utilizzando la casella di posta elettronica di un dipendente della società a controllo pubblico
- Pubblicamente accessibili e spesso mal gestiti, questi servizi costituiscono un pericolo per la persona inconsapevolmente sottoposta a vigilanza due volte: il primo pericolo è costituito da chi spia, il secondo da chiunque riesca ad accedere a server mal configurati e scarsamente custoditi
Al momento dell’iscrizione il software chiede a tutti gli utenti di spiegare perché vogliono usarlo. L’utente ha scritto «controllare dipendenti». Al telefono il meccanico riconosce di aver sorvegliato i suoi sottoposti in passato, «con un programmino fatto dal mio commercialista», spiega. Parole che fanno pensare a una volontà chiara di monitorare chi lavora per lui. Ma la lista di utenti italiani è ben più lunga.
A gennaio 2024 IrpiMedia ha ottenuto l’accesso a un database contenente dati e informazioni sugli utenti iscritti a Pc Tattletale. Sono più di 80 gli indirizzi email italiani, tra cui compaiono privati cittadini e imprese medio piccole.
Sostienici e partecipa a MyIrpi
Cinque di loro hanno compilato le domande poste all’iscrizione, precisando di aver aderito al servizio per controllare la figlia, per capire «se una persona sta cercando di tradirmi con un’altra persona o cosa trami alle mie spalle» o perché erroneamente speravano li potesse aiutare a recuperare le proprie password smarrite.
Tuttavia i dati visionati da IrpiMedia non hanno permesso di identificare le persone sorvegliate perché il database non include informazioni associate alla vittima.
Una miniera di informazioni
Nato come software per l’acquisizione “silenziosa” di informazioni da pc e smartphone, Pc Tattletale carpiva continui screenshot (fotografie di ciò che viene mostrato sul monitor) del desktop, della home del telefono e di tutte le attività svolte dalla persona sorvegliata sul suo dispositivo.
Permetteva di leggere messaggi di testo anche su app di messaggistica aperte sul desktop, di vedere quali numeri della rubrica telefonica erano stati aggiunti o rimossi, di vedere le foto e i documenti salvati o le mail inviate.
Tra le funzioni del software, anche la registrazione di tutto ciò che viene digitato sulla tastiera dall’utente: messaggi o email anche solo scritti e mai inviati, oppure credenziali di accesso. Tutto ciò senza che l’utente sorvegliato abbia dato il suo consenso.
Il leak di Pc Tattletale
La non-profit statunitense Ddos Secrets ha raccolto la fuga di dati di Pc Tattletale a seguito di un attacco informatico subito dal servizio nel 2023, mettendone a disposizione una copia a giornalisti e ricercatori. Grazie alla collaborazione con il gruppo e con l’Osservatorio Nessuno, IrpiMedia è in grado di riportare ciò che riguarda alcuni dei 111 utenti italiani che risultano essersi iscritti al servizio.
Le informazioni più complete riguardano 80 utenti. Tra le persone individuate, nell’archivio compaiono anche un sacerdote romeno ortodosso di una chiesa di Trento, il dipendente della società informatica a controllo pubblico InnovaPuglia e un utente registrato con una mail italiana associata a un’organizzazione religiosa inglese chiamata Holy Spirits.
Hanno mantenuto l’accesso al servizio perlopiù nella fase di prova di quindici giorni, a seguito della quale era poi richiesto di sottoscrivere un abbonamento mensile. L’hacker svizzera Maia Crimew ha analizzato il leak scoprendo come Pc Tattletale avesse da anni una backdoor che permetteva l’esfiltrazione di dati degli utenti da parte di attori esterni all’azienda sviluppatrice.
Una vulnerabilità molto importante, che aggiunge Pc Tattletale alla marea di software di sorveglianza che hanno subito attacchi informatici spesso fatali. Dal 2017 ad oggi, il giornalista esperto in cybersicurezza Lorenzo Franceschi-Bicchierai ne ha contati 21, subiti sia da app di stalkerware sia da software di parental control e di monitoraggio dei dipendenti. Tra questi anche Spyhide e Pc Tattletale.
Più di 17 terabyte: l’hacker svizzera Maia Crimew ha analizzato il leak di Pc Tattletale e stimato che gli screenshot raccolti dai dispositivi delle vittime sono almeno 300 milioni.
Estratti da decine di migliaia di telefoni e computer. La sorveglianza che chiunque può esercitare pagando poche decine di euro al mese è già fin qui ben oltre la comune immaginazione.
Per l’attaccante, i passaggi erano semplici: andare sul sito web del servizio e creare un account con email e password. Una volta davanti al dispositivo della persona da sorvegliare, il passaggio finale era installarlo. L’attaccante doveva dunque avere accesso fisico al dispositivo: un requisito non troppo complicato da soddisfare quando si tratta di figli, partner o dipendenti.
Chi c’è dietro Pc Tattletale
«Nato dall’esigenza personale di aiutare un amico a monitorare suo figlio teenager», così si leggeva su una pagina del sito all’inizio degli anni Duemila, Pc Tattletale era venduto dalla Parental Control Products LLC.
L’azienda è stata di proprietà dell’imprenditore statunitense Don Schnure dal 2003 al 2011, anno in cui l’ha ceduta al programmatore Bryan Fleming. Nel corso del tempo Fleming ha promosso il software in modi diversi. Prima come servizio di parental control che permetteva ai genitori di sorvegliare le attività dei figli nel mondo digitale.
Ma col tempo il claim dell’azienda è cambiato: «Guarda tutto ciò che tuo figlio o il tuo dipendente fa online». Nel 2020 Fleming ha aggiunto anche il riferimento alla possibilità di spiare i partner.
Nonostante la sensibilità delle informazioni trattate e il contesto operativo in cui operava Pc Tattletale, il suo sviluppo non sembra essere stato adeguatamente serio e rigoroso. Nel 2021 il giornalista Joseph Cox ha rivelato che, a causa di un errore di configurazione, il server su cui venivano archiviati i dati sottratti grazie al software era accessibile a chiunque ne conoscesse l’indirizzo web e che questo era stato reso pubblico, probabilmente per sbaglio, in un post su Facebook dalla stessa azienda.
Di fatto, si è permesso a chiunque di entrare nell’archivio e frugare tra le informazioni raccolte da chi lo usava. Una fuga di informazioni che anticipa di due anni l’attacco informatico del luglio 2023.
La vulnerabilità di applicazioni di monitoraggio dei dipendenti come Pc Tattletale e di malware in generale, sviluppate per rispondere a una crescente domanda di sorveglianza nei rapporti familiari e di coppia, ha dunque un risvolto negativo anche in termini di sicurezza dei dati.
Trattandosi spesso di software approssimativi e realizzati per lo più per soddisfare una domanda di sorveglianza non professionale, queste tecnologie sono facilmente ricche di vulnerabilità ed errori di configurazione che mettono in pericolo non solo la vittima, ma anche l’utilizzatore. Contattato da IrpiMedia, Fleming non ha risposto a una richiesta di commento.
Un controllo sleale
Alle ore 11.02 del 10 gennaio 2022 un altro utente italiano si iscrive a Pc Tattletale. Per farlo utilizza una mail della società InnovaPuglia, che gestisce gli acquisti della Pubblica amministrazione e i servizi digitali territoriali sotto il controllo della Regione Puglia.
Stando ai dati che IrpiMedia ha potuto consultare, un dipendente della divisione IT della società controllata si è iscritto al servizio come membro business, ovvero operante in una azienda, e indicando di voler effettuare il monitoraggio di uno o più Pc con sistema operativo Windows.
Per approfondire
Dal leak non è chiaro se il servizio sia poi stato effettivamente utilizzato né per quali finalità. Contattata da IrpiMedia, InnovaPuglia ha risposto di non aver «mai incaricato alcun dipendente allo svolgimento di monitoraggio da remoto sui dispositivi aziendali (cellulari e pc) in uso al proprio personale, né tantomeno alla individuazione di software utilizzabili a tale scopo».
La società controllata dalla Regione fa sapere inoltre che non può riferire se la persona che si è iscritta con l’indirizzo email della pubblica amministrazione sia in servizio o sia stato in servizio in passato.
Come spesso accade però gli indirizzi email degli enti sotto controllo pubblico sono composti da un nome o da un’iniziale del nome e dal cognome del dipendente: sul sito web dell’amministrazione sono pubblicati alcuni documenti ufficiali in cui è presente il nome e cognome della persona che si è iscritta a Pc Tattletale.
Software che «non è mai stato oggetto di formale autorizzazione all’utilizzo da parte della società, né di discussione, formale o informale, tra InnovaPuglia e le parti sindacali» fa sapere l’azienda.
A seguito delle informazioni fornite da IrpiMedia, l’ente ha fatto sapere di aver comunque attivato le verifiche necessarie sul caso coinvolgendo gli uffici e gli organi preposti.
Sostieni il giornalismo indipendente.
Aiutaci a costruire l’informazione che vorresti avere sempre con te.
Prima dell’entrata in vigore del Jobs Act, che ha riformato l’articolo 4 dello Statuto dei Lavoratori nel 2015, il controllo indiretto dei lavoratori nel processo produttivo aziendale era regolamentato in modo più stringente.
Il tema però è particolarmente complesso.
«Nel nostro ordinamento giuridico, iper semplificando, è illegale installare un sistema al solo scopo di controllare il lavoratore. Anche solo per sapere se lavora bene o male» spiega a IrpiMedia Alessandra Ingrao, professoressa associata di diritto del lavoro all’università Statale di Milano.
All’interno del processo produttivo della manifattura ma anche negli uffici è infatti possibile che il datore di lavoro possa installare sistemi di controllo indiretto.
Mentre, continua Ingrao, «il controllo mirato su un lavoratore specifico è vietato. Nel caso in cui il datore di lavoro voglia installare sistemi che consentono il controllo a distanza, è necessario stipulare un accordo con le rappresentanze sindacali, aziendali o unitarie a seconda di chi è presente nel luogo di lavoro».
Il sindacato agirebbe come intermediario tra i diritti dei lavoratori e le istanze avanzate dal datore di lavoro. Dunque, potrebbe ispezionare i dispositivi di controllo proposti, capire perché verrebbero utilizzati, quali sono gli scopi e così «verificare che ci siano vere esigenze organizzative produttive, di sicurezza o di tutela del patrimonio aziendale per esempio, prima di accordarsi con l’azienda» continua Ingrao.
Anche se il Jobs Act complica le cose, affermando come il controllo degli strumenti di lavoro possa avvenire al di fuori di procedure sindacali o amministrative, nel caso di Pc Tattletale la partita è diversa. «I sistemi che operano in background dovrebbero essere rispondenti a esigenze proporzionate di tutela del patrimonio aziendale e comunque installati post informazione ai lavoratori e ai sindacati» continua l’esperta.
Software di monitoraggio come Pc Tattletale «possono aumentare le chances di controllo sleale perché sono occulte e [operano in modo] continuativo».
Controllati sì quindi, ma in modo proporzionato e dopo essere stati informati in quanto dipendenti. Un dovere che software come Pc Tattletale permettono di aggirare con troppa facilità.
Le inchieste e gli eventi di IrpiMedia sono anche su WhatsApp. Clicca qui per iscriverti e restare sempre aggiornat*. Ricordati di scegliere “Iscriviti” e di attivare le notifiche.