La fonte primaria di introiti per i social network è la condivisione di informazioni sugli utenti con gli inserzionisti, o con altri che sono interessati a evidenziare tendenze online. Queste informazioni sono fornite in forma anonima, per proteggere la privacy; tuttavia, alcuni ricercatori della University of Texas at Austin hanno scoperto che, attingendo ad altre risorse liberamente disponibili in Rete, si possono ricavare informazioni sensibili da questi dati anonimi.

Nell'esperimento sono stati usati Flickr e Twitter, coinvolgendo utenti che si erano registrati in entrambi i servizi. I ricercatori volevano capire se potevano estrarre informazioni sensibili di un individuo, semplicemente tracciando le connessioni ricorrenti tra utenti, omettendo quasi tutti i dati personali (nome, indirizzo, e altro), e appoggiandosi però a un altro social network.

I risultati sono inquietanti: anche solo con un 14% di utenti comuni, si è riusciti ad avere una percentuale di errore nell'identificazione del 12%. Vitaly Shmatikov — professore di Computer Science alla University of Texas at Austin e impegnato nella ricerca — dice che queste identificazioni servono, per esempio, agli inserzionisti per individuare un utente ritenuto influente e autorevole, al quale saranno poi inviati avvisi pubblicitari che egli diffonderà tra i suoi amici.

Da quando sono nati i social network, queste ricerche si sono moltiplicate; un documento del 2007, per esempio, è particolarmente interessante: vengono presentati due tipi di attacchi attivi, con la creazione di numerosi nuovi utenti falsi; tuttavia, la disparità delle connessioni in ingresso e in uscita da un nodo risulta anormale, e quindi l'attaccante può essere scoperto. La ricerca di Shmatikov prevede invece un approccio sostanzialmente passivo, con la creazione di pochi nuovi nodi.

Ovviamente, altre reti non sono immuni da questi attacchi; i ricercatori si sono concentrati anche su Facebook, dove parecchi utenti scelgono di rendere pubblico il proprio profilo, e hanno usato questa caratteristica come punto di partenza. La creazione di un numero di seed (utenti falsi) da 30 a 150, è sufficiente per attaccare reti da 100.000 a un milione di utenti.

Alessandro Acquisti — professore associato alla Carnegie Mellon University — dipinge un futuro a tinte fosche per la privacy online. Shmatikov pensa che non esistano soluzioni tecniche a questo problema. Il suo lavoro, molto formale nella parte centrale (teoria dei grafi, ecc.), verrà presentato il 19 maggio prossimo all'IEEE Symposium on Security and Privacy.