Concorsi a premi online: sicurezza

Bikini Contest di null photographyCome garantire la sicurezza dei concorsi a premi basati sulle votazioni online? E questa la riflessione che voglio proporre oggi a tutti i lettori.

Oggi si è concluso il piccolo contest fatto per Ricette 2.0 denominato Frasi "Impepate". Un gioco per fare conoscere il nuovo motore di ricerca al pubblico e fare divertire i navigatori. La prima fase è stato un vero successo: oltre 100 frasi iscritte. La seconda fase è stata presa d’assalto. Oltre 1500 voti, molti dei quali capitalizzati da un nucleo ristretto. Ma non importa: Ricette 2.0 non ha offerto un iPhone o un portatile, ma solo qualche momento di allegria e doni da gustare in compagnia!

Voglio però condividere un po’ della mia esperienza nel settore e sentire i vostri pareri / esperienze in merito: non si è mai finito di imparare cose nuove!

 

Organizzare un concorso on line

Vediamo il problema "votazione online" dal punto di vista organizzativo. Al momento in cui si decidere di effettuare un concorso a premi (o contest che sia) con un sistema di voto online è necessario delineare un regolamento con il minor numero di "spazi di movimento" possibile per i navigatori e soprattutto decidere le modalità di votazione.

La prima decisione base è: profilazione o anonimato? Penso tutti sappiate cos’è la profilazione: si tratta della necessità per gli utenti di iscriversi per poter partecipare. Solitamente i dati richiesti sono nome, cognome ed email.

 

Pro della profilazione

  • conosciamo l’utente per nome e cognome, ma soprattutto per email (verificata)
  • si decide in modo chiaro il numero di votazioni consentite per email
  • tutte le azioni sono registrabili in Data Base e riferibili ad un utente

Contro della profilazione

  • gli utenti devono registrarsi e lasciare dati personali: spesso rinunciano prima
  • per votazioni in cui i votanti non vincono, non vi è motivo per cui gli stessi siano invogliati a lasciare i propri dati
  • bisogna attuare tecniche di verifica dell’email e di controllo di registrazione già avvenuta

Pro dell’anonimato

  • per gli utenti è più facile e veloce votare
  • è di facile implementazione, al più di controlli su cookie e IP (numero di voti max per IP, numero di voti max per Cookie, obbligatorietà di salvataggio cookie)
  • non vi è archiviazione di dati personali e non è necessario un database per gli stessi

Contro dell’anonimato

  • nessuno è imputabile in quanto nessuno ha concesso dati personali
  • cookie e IP, essendo variabili CLIENT – cioè del navigatore – sono fuori dal controllo di chi amministra: ipotizzando possono essere manomessi

[ad name=”postintra”]

 

Hacking di un concorso on line

Alcune metodologie con cui i navigatori possono manomettere i meccanismi di un concorso a premi, o meglio di una votazione. Curiosità la parola hacking deriva da to hack che significa fendere: sulla sua etimologia ancora ci sono dubbi, ma sul significato di hacker certamente no.

Spero che questi pochi appunti non diventino strumento per furbaccioni online.

 

Sabotare la profilazione

Quando la tecnologia non è dalla parte degli hacker deve per forza di cose arrivare la "furbizia". Se infatti un sistema di sicurezza di un concorso online è ben "armato" le vie di bucarlo sono veramente poche.

Nella mia esperienza gli escamotage, anche per concorsi di alto livello, sono stati i più banali:

  • iscrizione di utenti multipli (tutta la famiglia, gli amici, i morti, …)
  • iscrizione personale con creazione di decine di email

Purtroppo siamo disarmati: l’unica soluzione non definitiva è quella di richiedere un maggior numero di informazioni e  di eseguire delle verifiche: verificare l’email, verificare il cellulare tramite sms, richiedere copia del documento di identità, … Più le richieste sono restrittive, minore saranno i rischi, ma anche i partecipanti.

Se chiedete di votare delle frasi o dei disegni, senza contropartita "monetaria" (premio), non potete permettervi di chiedere di perdere 10 minuti per profilarsi.

Piccolo appunto / trucco:

per chi gestisce una profilazione temporanea come quella di un concorso a premi, consiglio di effettuare un emailing qualche giorno/settimana dopo l’evento e di verificare quante email vi tornano automatica indietro. Se invece il bacino di utenti, dopo accettazione dell’autorizzazione in fase di registrazione, resta vostro consiglio periodicamente di verificarne la consistenza convincendo gli utenti a logarsi o inviando email con link personalizzati e sistema di tracking. Vedrete che sorprese… e quanti fantasmi. 

 

Sabotare l’anonimato

Qui ragazzi non ci sono problemi. Si può fare tutto. Come dicevo le informazioni su cui un amministratore di un concorso on line può  basarsi sono: cookie e IP. Se qualcuno ne conosce altre le mie porte sono aperte, ma temo di aver ragione 🙁

Hackerare il sistema è banale: se basato sui cookie è sufficiente eliminare dal browser i cookie per quel dominio. Ricordo inoltre che ogni browser ha una gestione autonoma dei cookie: se avete 5 browser diversi sono 5 voti indipendenti.

Se poi uno vuole fare le cose fatte bene basta avere una virtual machine con uno stato sulla pagina di votazione, con voto ancora da assegnare. Quindi votare e ripristinare la sessione della VM salvata.

Se invece i limiti sono sull’IP ci sono un po’ più di difficoltà: dipende dal vostro contratto di connessione. Chi ha una ADSL normale, senza IP fisso, dovrebbe riuscire nella operazione riavviando il proprio router. Non sempre questo avrà effetto: alcuni provider assegnano all’utente un indirizzo IP per un tempo determinato.

Per quanto riguarda gli amministratori il filtraggio dell’IP presenta un grosso enorme limite: le reti aziendali. Se per esempio è imposto 1 voto per indirizzo IP, tutto coloro che accedono da un’azienda con un sistema di connessione centralizzato verranno bloccati dopo il primo voto.

[ad name=”postintra”]

 

Conclusioni

Come avete letto non ho soluzioni per il problema. La regola è di porre paletti all’hacking, senza esagerare, cercando un buon equilibrio tra i controlli e l’usabilità. Poi c’è la correttezza degli utenti, cosa che purtroppo anche per un giochino come quello di Ricette 2.0 non si è verificata appieno, riscontrando anzi lamentele da chi si è preso gioco dei cookie che riteneva lecito un certo comportamento.

ps: nella foto un bikini contest, non mi veniva altro in mente che associasse il tema concorsi e il tema cu… fortuna!

Loading Facebook Comments ...

19 pensieri su “Concorsi a premi online: sicurezza

  1. Merlinox Autore articolo

    @Pino: devo ancora capire bene come funzionano le navigazioni anonime. Se non permettono i cookie si può fare un controllo per evitare partecipino. Altrimenti ad ogni F5 sono nuovi utenti.

    Rispondi
  2. elisa

    Ah, vedo ora l’articolo! Il tema è interessante e (mi pare) poco trattato. Mi sono resa conto anch’io che chi vuole fare il furbo, lo può fare, anche senza avere particolari abilità o conoscenze tecniche. Ma, mi chiedo, che gusto c’è a vincere un contest in modo poco pulito? Come è possibile non sentirsi in colpa verso chi, invece, ha partecipato onestamente? Ogni volta che c’è qualche sistema di voto, la gente si preoccupa di vincere, di stare in testa… Invece come sarebbe bello che vincesse davvero il migliore; quello più bravo, quello che il ‘popolo’ ama di più! Dovrebbe esserci una cultura dell’onestà a partire proprio da queste piccole cose; poi non meravigliamoci che quando ci si posta su cose grosse, tutto vada a rotoli. Secondo me una società funziona bene quando c’è la cultura dell’onestà.

    Rispondi
  3. Merlinox Autore articolo

    @elisa Non so cosa risponderti: anzi ti dirò che alcuni partecipanti al contest hanno pure bloggato questa cosa come normale attività per arrivare alla vittoria. Sono piuttosto abbattuto per questa cosa: chi non capisce i tecnicismi punta il dito verso una “mala gestione”, ma sinceramente ci siamo trovati in una situazione imbarazzante.

    Rispondi
  4. concorsi keprezzi

    Purtroppo per i concorsi a classifica si verifica sempre il solito problema, vincono sempre gli stessi, a volte senza neanche partecipare (classifica ed abilità). Questo avviene soprattutto per premi di elevato valore.

    Rispondi
  5. keprezzi

    Purtroppo per i concorsi a classifica si verifica sempre il solito problema, vincono sempre gli stessi, a volte senza neanche partecipare (classifica ed abilità).Questo avviene soprattutto per premi di elevato valore.

    Rispondi
  6. Merlinox Autore articolo

    Caro @keprezzi ho alcuni anni di esperienza in questo campo. Come ho scritto nel post purtroppo se qualcuno vuole fregarti lo fa, indipendentemente se il mezzo sono algoritmi informatici o mera truffa.
    Per Ricette 2.0 speravamo non fosse necessario applicare controlli restrittivi: forse ci sbagliavamo! Certo è che per un banale dono non puoi metterti a chiedere profilazione, documenti, verifica incrociata con cellulare etc…

    Comunque va bene così, la prossima volta vincerà la sorte, a meno che insieme non troviamo una soluzione migliore. Anche se, tecnicamente, nell’anonimato della non-profilazione i dati in nostro possesso sono IP e cookie.

    Rispondi
  7. Pingback: Applicazioni Facebook e privacy

  8. Mariella

    Caro merlinox, evitare le iscrizioni plurime da parte della stessa persona sarebbe semplicissimo, se nel form fosse obbligatorio inserire il proprio codice fiscale… 😉

    Rispondi
  9. germana

    Io parlo da profana,e per risolvere il problema non saprei da che parte cominciare, però ma mi capita spesso di votare online,per esempio ai fini di una statistica,opinione ecc.. senza ricevere nulla in cambio, ma é impossibile votare due volte.

    Rispondi
  10. Merlinox Autore articolo

    Cara @Mariella come ho scritto nel post ci sono molti modi per garantire un concorso, ma sono tutti gravanti sulla flessibilità e la velocità del sistema di gioco.
    Ti garantisco che anche i più famosi sistema di sondaggi online (compresi i sondaggi di repubblica etc.) se non necessitano di profilazione o permettono un voto per IP, oppure se cancelli i cookie voti quante volte vuoi!

    Rispondi
  11. Merlinox Autore articolo

    Ciao @germana e benvenuta anche qui. Vorrei evitare di scrivere un post su come fregare i sistemi anonimi di voto online: già qui mi sono abbastanza bilanciato. Ti assicuro che è molto semplice, al più che permettano un solo voto per IP!

    Rispondi
  12. concorsieadv

    Ciao a tutti.
    Sono diversi anni che opero in questo campo e le eccezzioni che tutti avete sollevato sono una certezza…il problema maggiore sono i concorsisti che, a chi sovente si occupa di concorsi a premio, sono noti…
    piu’ di una volta abbiamo avuto problemi con questi giocatori “poco corretti” e la soluzione prospettata è sempre stata proprio quella di chiudere il piu’ possibile…ossia applicare sempre maggiori controlli sulle iscrizioni,restringere il sistema ed impedire che terzi da parti esterne possano accedervi!

    Rispondi
  13. Merlinox Autore articolo

    @concorsieadv ricordo ancora alcuni concorsi “seri” in cui beccavamo chiaramente i “malandrini” ma non potevamo farci nulla. Li tracciamo con il CFIDE e il CFTOKEN… c’era gente con 100 account: da non crederci!

    Rispondi
  14. Concorsi a premi

    Credo che il web non sia poi così diverso dal mondo reale, dove i furbi, specie qui da noi, hanno spesso la meglio e, se vengono beccati, non rischiano poi così tanto. E’ un circolo vizioso quello di tentare operazioni di marketing (come quelle dei concorsi a premi) senza richiedere dati personali verificabili: tuttavia gran parte degli utenti onesti, proprio perché si vive in un mondo di mascalzoni, avrà qualche reticenza nel registrarsi.

    Ciao,

    Luigi

    Rispondi
  15. La Ele

    L’obiettivo del concorso è esprimere il proprio desiderio attraverso un Video.

    Andate sul sito di caffè borghetti…. si vince un viaggio a LOS ANGELES!!

    Rispondi
  16. Merlinox Autore articolo

    L’idea della Borghetti @La Ele è sicuramente innovativa. Il video è coinvolgente. L’unico dubbio è che se la promozione è fatta postando così sui blog, potrebbe quasi sembrare #spam.

    Rispondi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *