Con le indagini sulle interferenze elettorali che stanno andando avanti a pieno regime negli Stati Uniti, le società di social media vengono spinte a trovare nuovi e veloci metodi per identificare i bot e i troll governativi collegati alle loro piattaforme, in particolare quelle russe.
Il 10 aprile, Reddit ha annunciato [en, come i link seguenti, salvo diversa indicazione] l'intenzione di pubblicare un elenco di account che la società sospettava avessero collegamenti con l'Agenzia di Ricerca su Internet russa, comunemente denominata “fabbrica di troll”. I team aziendali “Trust & Safety” e “Anti-Evil” di Reddit hanno identificato questi account, in collaborazione con le più ampie richieste del Congresso degli Stati Uniti riguardo l'interferenza elettorale sui social media. Più utenti sono stati quindi banditi dalla piattaforma, ma non tutti avevano collegamenti dimostrabili con il Cremlino.
Il 12 aprile, un utente che ha perso il proprio account ha implorato Reddit di controllare il proprio lavoro:
oi @reddit check your admin's inbox on the website. your recent list of 944 suspicious users has 3 of my accounts and none of them are “Russian bots” or “Russian trolls”. I just happen to be from Russia. UNBAN ME.
— ☆ (@ajcrwl) 12 апреля 2018 г.
oi @reddit controlla la posta in arrivo del tuo amministratore sul sito web. Il vostro recente elenco di 944 utenti sospetti ha 3 dei miei account e nessuno di loro fa parte dei “robot russi” o “troll russi”. Vengo solo dalla Russia. SBLOCCATEMI.
L'approccio di correzione rapida di Reddit verso la caccia ai bot sembra aver trascinato un numero di vittime innocenti nelle sue reti. Per questo utente sembra che la chiave “sospetta” del suo account fosse la sua posizione — la Russia.
Cosa lo ha reso possibile? Usando script Python personalizzati e strumenti di ricerca open-source, ho deciso di dare un'occhiata più approfondita a questi account, nel tentativo di capire cosa ha portato a questo risultato.
All'inizio, ho visto che la distribuzione delle date di creazione era tipica dell'intensa produzione di una fabbrica di troll: un periodo complessivo di registrazioni ha avuto luogo da maggio 2015 a ottobre 2016, con massimi picchi di attività da maggio a luglio 2015.
Questo è stato un risultato non sorprendente, e una possibile ragione per cui gli account potrebbero aver attivato il sistema.
Successivamente, volevo vedere se i nomi utente di Reddit erano stati riutilizzati su altri siti di social media. Ho eseguito uno script per interrogare sia Twitter che il social network russo VKontakte (VK) per gli account corrispondenti. Sebbene VK non abbia restituito alcun interesse – solo un paio di probabili risultati coincidenti – su Twitter c'erano 106 nomi utente comuni.
Esaminando questi account Twitter, due hanno mostrato possibili collegamenti che puntano alla fattoria dei troll dell'IRA di Savushkina 55 (a fine 2017 il loro ufficio si è trasferito in un altro indirizzo a San Pietroburgo).
Prima c'era @shomyo, un profilo abbozzato con “john Doe” come nome, seguito solo da sei account, per lo più russi, compresa una squadra di calcio di San Pietroburgo. Era altrimenti inutilizzato.
Il secondo esempio ha indicato più in modo sostanziale l'Agenzia di Ricerca su Internet, ma è rimasto in sospeso dal 2015. @rapitangnyy, con un account LiveJournal pro-Cremlino [ru] collegato, ha twittato link a blog patriottici [ru] simili.
Inoltre, questa identità è stata inclusa in una lista trapelata di account IRA da parte dell'ex membro interno dell'IRA Lyudmila Savchuk, pubblicata quell'anno; è abbastanza probabile che Reddit abbia usato questa lista per ricavare alcuni degli indicatori per la sua indagine. Ho pubblicato la mia analisi [it] di contenuti pro-Cremlino simili su LiveJournal, anche in quell'anno.
Il corrispondente account di Reddit Rapitangnyy (archivio) è stato largamente utilizzato per promuovere i post sul blog LiveJournal in lingua russa,
la maggior parte dei quali dipinge l'Ucraina e l'Occidente in cattiva luce. È rimasto inattivo per due anni. Quindi questo è, senza dubbio, un account della fabbrica di troll russa – ma non uno schierato contro gli Stati Uniti durante le elezioni.
Forse i risultati più degni di nota, durante la mia approfondita ricerca attraverso gli utenti “sospettati” di Reddit, erano quelli che probabilmente non erano affatto prodotti da una fabbrica di troll. Tra gli account russi con un'identità Twitter corrispondente c'era @ajcrwl, un utente che indicava la sua posizione come “Bloccato a Omsk”. Il suo sito web era dedicato all'arte digitale e alla progettazione grafica.
Ero incuriosito – questa persona potrebbe essere un dipendente remoto della famigerata fattoria dei troll di San Pietroburgo, che produce industriosamente dei meme anti-americani sotto ordine? La loro identità era stata rivelata dal suo riutilizzo inopporturno dello stesso nome utente su più piattaforme? Come ha dimostrato il precedente lavoro di RuNet Echo [it], questo non sarebbe stato qualcosa di inedito.
Dopo ulteriori ricerche e verifiche, tuttavia, questa prospettiva sembrava sempre meno probabile. Sebbene l'account Reddit /u/Ajcrwl sia stato creato nell'ottobre 2016, durante il più ampio periodo di attività dei troll, l'account stesso non ha mostrato alcun segno di alcuna attività anti-americana o pro-Cremlino; invece, c'erano post riguardanti la crescita delle rose e il videogioco Dishonored 2.
ajcrwl, che ho notato prima twittare su Reddit, non si comportava come una parte colpevole. L'ho contattato il giorno dopo, curioso di sapere come sia atterrati sul radar di Reddit durante l'indagine.
“Credo che nessuno di Reddit si sia preso la briga di controllare [i miei account] al di fuori di Reddit”, ha risposto. Quando ho chiesto se avesse mai usato un VPN, o avesse interagito con la piattaforma in un modo insolito, mi ha scritto:
Sometimes I use a VPN connection, and I think I've been flagged in January when I deactivated one of my Reddit accounts and immediately created another. There's a chance I logged into the third one back then as well. I've also been logged into two accounts from my phone.
A volte uso una connessione VPN e penso di essere stato segnalato a gennaio, quando ho disattivato uno dei miei account Reddit e ne ho creato immediatamente un altro. C'è una possibilità che ho effettuato l'accesso anche alla terza. Ho anche effettuato l'accesso a due account dal mio telefono.
ajcrwl ha condiviso volentieri con me il numero AS (un codice che identifica un intervallo di indirizzi IP utilizzati da un particolare fornitore di servizi) e gli indirizzi VPN (con base a Londra, Polonia e Atlanta) che aveva usato prima del loro blocco. Nessuno di essi corrispondeva a nessuna delle infrastrutture che ho in archivio (i miei documenti, derivati da fonti open source, sono solidi ma non esaustivi) come collegato all'Agenzia di Ricerca su Internet, al FAN RIA, o agli indirizzi IP dei loro forum associati di troll.
Piuttosto, sembra più probabile che l'uso di un VPN da parte di ajcrwl, in combinazione con attività che coinvolgono tre account, abbia fatto scattare la trappola di Reddit.
Il 17 aprile, sono tornato alla lista degli account sospetti su Reddit e ho scoperto che ajcrwl e altri tre account erano stati rimossi
da esso e non pubblicati. ajcrwl ha confermato che anche due degli account appartenevano a lui.
Il quarto account apparteneva a RobbyDelaware, un americano dello stato della Georgia, che era stato precedentemente intervistato da Motherboard di VICE nel novembre 2017, dopo che il suo account di Twitter, con un username identico, fu inaspettatamente colpito dall'ascia della censura. Nonostante questa pubblicità e apparente rivendicazione, ho notato che il 9 maggio l'account Twitter di Delaware era stato contrassegnato come limitato a causa di “attività insolite”.
Lo stesso giorno, ajcrwl ha scoperto con dispiacere che il suo blocco su Reddit sembrava perseguitarlo anche su Twitter:
Twitter has just locked me for "automated behavior" for no reason at all.
Unlocked easily, but I thought I should log this.— ☆ (@ajcrwl) May 9, 2018
Twitter mi ha appena bloccato per “comportamento automatico” senza alcun motivo.
Sbloccato facilmente, ma ho pensato di doverlo registrare.
Attraverso ulteriori analisi ho scoperto che Twitter aveva intrapreso azioni simili contro quasi tutti i 106 account con nomi utente corrispondenti a quelli dell'elenco “sospetto” di Reddit, anche @LGBTUnited, un promotore a tema LGBTQ ora inattivo e senza connessione apparente alla pagina della fattoria dei troll con lo stesso nome. Alcuni altri account contrassegnati come limitati al momento della scrittura includevano persone apparentemente reali senza ovvi legami con la Russia, come @hcaner, un hacker dello sviluppo dal Brasile.
Eppure alcuni degli account che sembravano falsi o che diffondevano spam, come @Meepopeep o @LaserAthletics sono sfuggiti a questo destino. Twitter sembrava utilizzare la prima revisione dell'elenco “sospetto” di Reddit come suo indicatore principale, con poca o nessuna verifica.
Mi sono messo in contatto con Robby Delaware, spiegando che il suo account @robbydelaware – che non aveva twittato da ottobre 2017 – era stato limitato. In questo scambio, ho appreso che Delware è stato uno dei primi utenti di Twitter a richiamare l'attenzione su un tentativo iniziale della Agenzia di Ricerca su Internet di manipolare il pubblico americano nel 2014, azioni che potrebbero alla fine aver contribuito ai suoi blocchi su entrambe le piattaforme. Quando ha notato alcune attività insolite nell'hashtag #ColumbianChemicals, ha comunicato al team di sicurezza di Twitter:
.@twittersecurity There's a bogus #ColumbianChemicals tag (along with others) flooding twitter about fake chem. plant explosion.
— Robby Delaware (@RobbyDelaware) September 11, 2014
C'è un falso tag #ColumbianChemicals (insieme ad altri) che inonda Twitter su falsi prodotti chimici. esplosione di una fabbrica.
L'attività di bot e troll su #ColumbianChemicals è stata rivelata l'anno seguente dal New York Times come campagna collegata all'IRA. Ma Delaware lo aveva segnalato nel momento stesso in cui aveva colpito il web, creando persino un Pastebin dei suoi sforzi investigativi (ha anche scritto come iPad_App_Bugs).
This is me. I wrote down some of this stuff in a PasteBin post in 2014: https://t.co/J3H7hHPqv2 The goofy videos were from that day.
PasteBin post has around 100 Twitter accounts that were involved also.
— iPad Mini Bugs (@iPad_App_Bugs) March 2, 2018
Questo sono io. Ho scritto alcune di queste cose in un post di PasteBin nel 2014: https://t.co/J3H7hHPqv2 I video divertenti erano di quel giorno. Il post di PasteBin ha circa 100 account Twitter coinvolti.
Delaware ha la rara particolarità di essere stato bannato su Twitter e poi reintegrato; bandito su Reddit quindi reintegrato; e poi essere censurato ancora una volta su Twitter, apparentemente per aver tentato di attirare l'attenzione su una campagna pro-Cremlino.
Non ha ricevuto spiegazioni da nessuna delle due società, semplicemente un riconoscimento da parte di Reddit che ha ripristinato il suo account.
A differenza di ajcrwl, Delaware mi ha detto che non aveva mai usato un VPN, ma un normale fornitore di servizi internet in Georgia, il suo paese di residenza. È possibile che un IP georgiano, in combinazione con l'attività attorno ad un hashtag associato con una campagna di una fattoria di troll, abbia messo in risalto gli algoritmi di Twitter, ma una rapida ispezione manuale avrebbe chiarito il motivo per cui Delaware aveva utilizzato l'hashtag in primo luogo. Lui mi ha detto:
I do believe that Twitter used the most basic methods of automation to flag my account. I believe that the Columbian Chemicals hashtag, along with 3 tweets in Russian language, caused my account to be flagged.
Credo che Twitter abbia usato i metodi di automazione più basilari per contrassegnare il mio account. Credo che l'hashtag di Columbian Chemicals, insieme a 3 tweet in lingua russa, abbia causato la segnalazione del mio account.
Delaware ha infatti pubblicato sette tweet in russo dal suo account originale – come indicato da “ru” nel campo linguistico dei metadati dei suoi tweet – ma erano satirici o politicamente neutrali, non sinceramente pro-Cremlino. Ha anche retwittato un tweet [ru] del giornalista pro-Cremlino Komsomolskaya Pravda, Dmitriy Smirnov, durante un incontro tra Vladimir Putin e l'ex Presidente del Kirghizistan Almazbek Atambayev. Ma il contesto è vitale — questo da solo non indica che Delaware fosse solidale con la sua politica.
Questi due studi di casi suggeriscono che mentre alcuni sforzi contro la disinformazione svolti da Reddit e Twitter sembrano aver avuto un grande successo, il loro approccio ha prodotto un danno collaterale significativo per un gruppo apparentemente piccolo di utenti regolari.
Si possono vedere molti motivi per cui Reddit e Twitter condividerebbero tali informazioni, applicando l'automazione o utilizzando le stesse fonti per ricavare indicatori di attività sospette. Ma è sorprendente pensare che potrebbero farlo senza interpretare criticamente queste informazioni con ulteriori analisi tecniche, verifiche manuali o ricerche open source. Con un numero così esiguo di account, la ricerca individuale da parte degli investigatori umani sarebbe fattibile.
Questa strategia ridurrebbe il tasso di blocchi scorretti e aumenterebbe la fiducia degli utenti nella lotta contro la disinformazione, riducendo al contempo il rischio che i media pro-Cremlino capitalizzino questi errori minori e presentino le indagini come infondate o illegittime.