Guerre di Rete - Aziende tech che si fanno Stato?
E poi ancora due cose su Clubhouse; come identificare qualcuno con i suoi dati smartphone; Solarwinds; TikTok e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.95 - 7 febbraio 2021
Oggi si parla di:
- Clubhouse, la crescita e ancora i dati
- aziende tech, la tentazione della company county, lavoro e diritti dei lavoratori (e lavoratrici)
- geolocalizzazione e identificazione
- riconoscimento facciale
- Solarwinds hack, nuovi inquietanti dettagli
- TikTok
- e altro
-> Aggiornamento campagna donazioni: come dicevo due giorni fa su Twitter, lo stato della campagna donazioni a Guerre di Rete (iniziata il 10 gennaio e attiva fino al 10 marzo) è il seguente:
- 12.679 euro raccolti (obiettivo era 5mila ma continuano ad arrivare donazioni)
- 495 donatori (di cui 5% diaspora cyberitaliana nel mondo)
- oltre 8400 iscritti
Grazie ancora! I dettagli sulla campagna sono qua. Per donare qua (anche via Iban) o nel bottone sotto (via Paypal/carta).
EVENTO
A tal proposito, per chi fosse interessato martedì 9 febbraio alle 21 avrò il piacere di intervenire come ospite ai Dialoghi Copernicani. Tema: Guerre di rete: come parlare di cybersecurity non solo agli specialisti
Live streaming qua.
CHAT DI RETE
Sabato (ieri) è uscito un nuovo podcast di Chat di Rete, il format di chiacchiere condotto da me e Vincenzo Tiani, in cui approfondiamo temi specifici con uno o più ospiti. La puntata di ieri è tutta dedicata al Solarwinds Hack, la campagna di cyberspionaggio che ha colpito governo Usa ma anche molte aziende (campagna su cui vi aggiorno in newsletter più sotto). Nel podcast ne parliamo in profondità con Alberto “quequero” Pelliccione, Ceo di ReaQta (da non perdere se seguite per lavoro o passione la cybersicurezza). ASCOLTA
Iscrizioni: Spotify; Apple; Google.
CLUBHOUSE
Arrivano i big e gli utenti, restano i dubbi sui dati
La scorsa settimana avevo parlato di Clubhouse, il social per conversazioni audio in tempo reale, una sorta di labirintico convegno multisala globale in audiostreaming, profumato di Silicon Valley, che ora sta facendo incetta di utenti anche in Europa. E avevo sollevato alcuni dubbi sulla raccolta dati fatta dal social, in particolare il tentativo di avere accesso a tutti i costi alla rubrica - che sono stati ripresi, con citazione della newsletter (grazie redattori!), da Il Post, Formiche, Hdblog, e Leganerd.
Questa settimana c’è da segnalare la partecipazione di Elon Musk, il Ceo di Tesla, a una stanza/show su Clubhouse, The Good Time Show, in cui è stato intervistato su vari temi (la colonizzazione di Marte, Gamestop e i meme, insomma le solite cose di cui si parla al bar). L’ingresso di Musk (la cui intervista si può riascoltare qua) ha messo alla prova il limite da 5mila ascoltatori delle stanze. Stessa cosa è successa qualche giorno dopo, quando a entrare nella stanza dello stesso show per essere intervistato sul futuro della realtà virtuale è stato Zuck23, ovvero Mark Zuckerberg, il fondatore di Facebook. Tutto ciò sta contribuendo a tirare la volata al nuovo social. Che sta crescendo vertiginosamente, tanto che il primo febbraio aveva già raggiunto 6 milioni di utenti. Così come crescono le riflessioni sui possibili usi della piattaforma, con aperture da parte di giornalisti quali Casey Newton che vedono in Clubhouse una concorrenza ai podcast, con la differenza di introdurre da un lato una sorta di serendipità e dall’altro di semplificare la realizzazione di queste sessioni audio rispetto alla qualità più alta richiesta dal podcasting (The Verge).
“Interessante capire cosa faranno i grandi social tradizionali e i servizi di streaming”, si chiede ora Massimo Russo su Esquire. “Inizieranno a loro volta a dare la possibilità agli utenti di aprire stanze per le dirette? Daranno il via a una girandola di acquisizioni?”
Il tema privacy è stato poi ripreso in settimana da varie testate italiane e da alcuni legali, ad esempio Ernesto Belisario su Il Fatto, o Francesco Micozzi su Key4biz. Ma anche dalla Germania che, come dicevo la scorsa volta, continua a essere la più attenta a osservare la nuova app. Scrive infatti in questi giorni la testata tedesca Morgenweb: l’app “richiede accesso a tutti i numeri del telefono dell’utente così come i loro nomi e dettagli. Chiunque non dia il consenso verrà punito non potendo invitare gli amici o conoscenti”. Per la responsabile sulla protezione dei dati del Saarland, Monika Grethel, è dunque “una assurdità” a rischio di abusi. “Il fatto di fornire accesso ai contatti, dando informazioni anche di persone che non sono iscritte, dovrebbe essere visto in modo critico”.
Dubbi degli esperti di privacy a parte, ricordo che, come segnalato dall’informatico forense Paolo Dal Checco, non esisterebbe nemmeno un meccanismo diretto per cancellare il proprio profilo. Non solo, Dal Checco segnala “l’interessante proprietà degli inviti, che su ClubHouse non possono essere nascosti e che quindi mostrano in modo perenne i collegamenti tra soggetti basati proprio sulla catena d’inviti. Chi si occupa di ricerche online, informatica forense e giornalismo investigativo può beneficiare di questa rete di contatti che gli utenti disegnano inconsapevolmente nel momento in cui invitano qualcuno su ClubHouse o accettano un invito. Altra proprietà particolarmente rilevante del social network ClubHouse, che ne permette un’analisi OSINT [disciplina investigativa che si occupa di raccolta e analisi di dati da fonti aperte, ndr] di buon livello, è il fatto che di ogni utenza telefonica è possibile visionare (fino a quando non si registra sulla piattaforma) il numero di utenti di ClubHouse che la possiedono in rubrica fra i propri contatti”.
(Per chi domandasse: sì sono su Clubhouse, del resto ne ho scritto la scorsa settimana, e giovedì scorso con Vincenzo Tiani abbiamo lanciato una stanza. E no, non gli ho dato accesso alla rubrica, quindi non ho inviti da dare).
IRL, il social degli eventi
A conferma che la pandemia sta producendo molta voglia di socialità a distanza, il social per la scoperta di eventi IRL ha appena aggiunto varie funzioni di chat, e per seguire eventi in gruppo. Un po’ meno motore di ricerca, un po’ più social network (TechCrunch)
CAPITOL HILL
Come il NYT ha identificato assalitori con gli identificativi usati per l’advertising
Nelle scorse newsletter ho scritto di come i dati e le tracce digitali lasciate dai partecipanti all’assalto al Campidoglio del 6 gennaio siano stati saccheggiati da chiunque (media, polizia, comuni cittadini). E che al di là della vicenda specifica, quanto stava emergendo poteva essere considerato quello che gli inglesi chiamano un cautionary tale, una storia che funziona da ammonimento, su quello che oggi è diventata la nostra società, tra cultura della sorveglianza (per citare David Lyon) e capitalismo della sorveglianza.
Oggi ci torniamo con un articolo del New York Times che ha ricevuto da una fonte dati di localizzazione di una parte dei presenti a Capitol Hill in quella infausta giornata. Dati raccolti da società di marketing attraverso gli smartphone, app ecc. Dati in teoria anonimi ma che invece il NYT ha potuto deanonimizzare per duemila smartphone, ricostruendo dunque non solo l’identità delle persone ma anche tutti i movimenti prima e dopo Capitol Hill (oltre che dentro o fuori Capitol Hill, un dato non sempre così preciso in realtà e insieme molto rilevante sul piano penale). Tutto parte dalla raccolta degli ID unici degli smartphone degli utenti, identificativi a fini pubblicitari che tracciano le persone attraverso internet e le app, un dato in teoria anonimo ma che si può confrontare (ci sono aziende che offrono questo servizio) con altri database che contengono lo stesso ID, permettendo di incrociare nomi, indirizzi, numeri di telefono, email e altre informazioni. La promessa di anonimato è una farsa, scrive il NYT.
LAVORO, STATO E AZIENDE TECH
Dalle company town alla company county?
Il governatore del Nevada vuole introdurre una nuova legge che permetterebbe ad aziende tech di formare governi locali separati dentro lo Stato. Il governatore Steve Sisolak le chiama Innovation Zones. Secondo questa proposta (qui c’è la bozza), le aziende con una certa liquidità e che operano in settori come l’AI, le rinnovabili o la blockchain avrebbero la possibilità di formare governi locali con lo stesso potere delle contee. Potrebbero cioè raccogliere tasse, gestire tribunali e scuole. Per fare domanda un’azienda (secondo la logica della proposta) deve essere in un settore innovativo (AI, robotica, blockchain ecc), aver comprato almeno 78 miglia quadrate di terreno nel Nevada lontano da città e centri abitati, e deve investire 1 miliardo di dollari in 10 anni.
Per alcune testate locali, la proposta del governatore arriverebbe da una azienda ben precisa nel campo delle tecnologie blockchain, Blockchain LLC, che già nel 2018 aveva acquistato della terra in Nevada con l’idea di costruire una sorta di comunità innovativa. Del resto l’azienda in questione è stata citata proprio da Sisolak.
Se a qualcuno la proposta farà salire un brivido da letteratura cyberpunk lungo la schiena, ad altri verrà invece in mente un famigerato precedente storico: le company town nate negli Usa alla fine dell’800 da parte di alcune grandi industrie, che avevano costruito non solo abitazioni ma vere e proprie cittadine per i dipendenti delle proprie fabbriche, che così si trovavano ad avere stesso datore di lavoro, stesso proprietario di casa, stesso gestore della biblioteca, degli spacci o negozi e così via. Una appendice di quel capitalismo rampante di fine ‘800, di quella Gilded Era (così definita, criticamente, da Mark Twain e Charles Dudley Warner) i cui più potenti rappresentanti furono chiamati da qualcuno capitani di industria, da altri robber baron (baroni rapinatori). Ad ogni modo le company town persero tutto il loro smalto alle prime crisi economiche e proteste dei lavoratori, e furono poi perlopiù abbandonate con l’avanzamento delle lotte sociali e le politiche del New Deal.
LAVORATRICI E LAVORATORI TECH
Disparità nelle paghe di donne e nelle assunzioni: Google paga 2,5 milioni
Google ha raggiunto un accordo col Dipartimento del Lavoro statunitense per cui pagherà 2,5 milioni di dollari a più di 5500 dipendenti e candidati che avrebbero subito una discriminazione nella paga e nelle assunzioni. Per il Dipartimento del Lavoro le ingegnere informatiche erano sottopagate, scrive The Verge. Ma il dipartimento avrebbe anche identificato differenze nelle assunzioni nei riguardi di candidati asiatici e donne.
Il tema della parità salariale delle donne nell’industria tech (ma ovviamente mica solo in questa) è emerso più nettamente negli ultimi anni, a partire dalla marcia di dipendenti Google del 2018 che protestavano contro il modo in cui l’azienda aveva gestito accuse di molestie sessuali sull’onda del MeToo. Più recentemente, come raccontavo nella scorsa newsletter, è cresciuto anche un movimento di sindacalizzazione, l’Alphabet Workers Union.
AMAZON
Nel mirino le videocamere tech e la questione sindacati
Nel mentre sarà interessante capire come si comporterà il nuovo Ceo di Amazon, Andy Jassy, in tema di diritti del lavoro (come sapete il fondatore Jeff Bezos lascia il suo ruolo di Ceo). Per ora la situazione è la seguente, stando solo alle notizie dell’ultima settimana.
“La spinta per sindacalizzare i lavoratori nei magazzini in Alabama sta incontrando una dura opposizione poiché il gigante dell’ecommerce, i cui profitti sono volati durante la pandemia malgrado le preoccupazioni per la sicurezza dei lavoratori, ha lanciato una aggressiva campagna antisindacale”. Così scrive testuale il Guardian. In questi giorni i dipendenti in Alabama devono infatti votare per la creazione del sindacato ma Amazon avrebbe “incoraggiato i lavoratori a votare contro attraverso l’invio di sms, messaggi, un sito antisindacato e diversi incontri al magazzino”, oltre a pubblicità su Facebook, scrive sempre il Guardian.
E mentre i media americani riportano proteste in altri stabilimenti, come a Chicago, dove l’azienda avrebbe introdotto un “megaciclo”, un turno notturno da dieci ore (Vice), ha fatto discutere anche il progetto di utilizzare videocamere hi-tech nei furgoni delle consegne per monitorare il comportamento dei guidatori, riferisce The Verge.
Revolut, lavoro da remoto permanente
L’azienda fintech Revolut ha annunciato di rendere permanente il lavoro flessibile a Dublino e in altri suoi uffici, che verranno trasformati in spazi collaborativi per permettere ai dipendenti di incontrarsi. I quali però potranno scegliere se lavorare da remoto o andare in ufficio. Secondo un sondaggio interno, il 98 per cento dei lavoratori avrebbero detto di essersi ben adattati al lavoro da casa e il 90 per cento dei team leader avrebbero detto di non aver visto cambi nella performance (SiliconRepublic). Un’altra azienda che aveva annunciato tempo fa di voler abbracciare il lavoro da remoto indefinitamente era stata Twitter.
RICONOSCIMENTO FACCIALE
L’app che alle polizie vende il riconoscimento facciale costruito sulle foto online degli utenti “fa sorveglianza di massa”, dice il garante del Canada
“Clearview fa sorveglianza di massa ed è illegale”. Queste le lapidarie parole del commissario alla privacy del Canada, Daniel Therrien, secondo il quale l’app di riconoscimento facciale ClearView AI dovrebbe cancellare le facce dai canadesi dal suo database. Su questa newsletter ci siamo già occupati del tema, ma facciamo un breve punto. ClearView AI è un’azienda che ha raccolto 3 miliardi di foto dal web e i social (con la modalità dello scraping, una tecnica con cui si estraggono dati in quantità da siti) al fine di creare un’app di riconoscimento facciale che ora è usata da oltre 2400 agenzie di polizia americane, secondo dati della stessa azienda, riferisce il New York Times. Quando un agente fa una ricerca con l’immagine di qualcuno, l’app fornisce i link ai siti dove era apparsa la faccia di quella persona. Ora, per il commissario alla privacy canadese, le immagini prese dalla società, anche se erano “pubbliche” su internet, sono state usate in un modo che non era quello inteso da chi le aveva pubblicate e in un modo tale che potrebbe anche “creare un pericolo significativo per quegli individui”.
Nel mentre, in Germania, il garante per la protezione dei dati personali di Amburgo ha obbligato l’azienda statunitense a cancellare le informazioni di un cittadino tedesco - che aveva fatto una richiesta di accesso ai dati per sapere se nel database erano presenti la sua faccia o i suoi dati biometrici (Wired Italia).
SOLARWINDS
Sempre più grave la campagna di cyberspionaggio (e gli hacker non hanno usato solo Solarwinds per attaccare)
La storia di cyberspionaggio legata all’attacco a Solarwinds - azienda che vende software di monitoraggio dell’infrastruttura IT a migliaia di organizzazioni e che è stata sfruttata da un gruppo di hacker per violare i suoi stessi clienti (dal governo Usa ad aziende tech) inserendo una backdoor nei suoi aggiornamenti software, in quello che si definisce un attacco supply chain - continua ad allargarsi e approfondirsi, anche se i suoi confini restano ancora avvolti dalla nebbia (qui la stiamo seguendo in dettaglio, potete ricostruirne l’evoluzione a partire da qua, e poi qua).
In questi giorni è emerso che gli attaccanti avrebbero avuto accesso al sistema email interno di Solarwinds, a Office 365, per mesi, almeno a partire dal dicembre 2019, ovvero ben un anno prima che questa storia emergesse. Gli hacker avrebbero avuto accesso almeno a un account Office 365 e da lì sarebbero riusciti a entrare in altri account aziendali. Ancora non è chiaro come gli attaccanti siano entrati originariamente nella rete interna di Solarwinds, anche se la compromissione di più account Office 365 potrebbe essere stato usato come un ingresso iniziale, scrive il Wall Street Journal. Che aggiunge: “L’indagine interna ha significato cercare in decine di terabytes di file di log e altri dati nello sforzo di tracciare i passi dell’operazione di hacking che sono passati inosservati per più di un anno”. Una montagna di dati, dicono da Solarwinds, che sborserà milioni di dollari anche solo per la risposta all’incidente.
Il 30 per cento delle vittime della campagna di cyberspionaggio non aveva connessioni dirette con Solarwinds
Ma l’azienda texana non è stato l’unico vettore con cui gli attaccanti (“probabilmente russi”, hanno dichiarato le agenzie federali americane che si occupano di cybersicurezza) sono entrati nei sistemi delle vittime. E’ stato sicuramente il mezzo principale (il software di Solarwinds che è stato compromesso, Orion, è stato scaricato da 18mila clienti, una parte dei quali è stata selezionata dagli attaccanti per approfondire l’infiltrazione) ma non l’unico. Ora l’agenzia federale americana per la sicurezza delle infrastrutture e la cybersicurezza (CISA) dice che circa il 30 per cento delle vittime di questo gruppo e di questa campagna di spionaggio non avrebbero alcuna connessione diretta con Solarwinds. In pratica, come ha commentato qualcuno, stiamo solo grattando la superficie. A essere attaccate sono state anche aziende tecnologiche e di cybersicurezza come Microsoft, Palo Alto Networks, Qualys, Malwarebytes, Fidelis, Fireeye (che se ricordate è stata la prima azienda a dicembre a far emergere la storia, rivelando di aver subito una compromissione). I dettagli su questo tipo di vittime sono ancora pochi però. Sappiamo ad esempio che Malwarebytes sarebbe stata violata dopo che gli hacker avevano ottenuto il controllo di applicazioni con accesso privilegiato alla sua infrastrutture Azure e a Office 365 (Zdnet). Già a fine dicembre era emerso che in alcuni casi gli attaccanti avevano usato l’accesso ai servizi Microsoft dei reseller per raggiungere i loro target. Ad esempio, nel caso della società di sicurezza Crowdstrike, avevano ottenuto l’accesso a un vendor che forniva licenze Office alla stessa e avevano provato (senza successo) a leggere le email. “Molte delle licenze software Microsoft arrivano da terze parti e quei vendor hanno accesso quasi costante ai sistemi dei clienti”, scrive Techzine.
Sbucano nuove vulnerabilità nei software Solarwinds (e presunti cinesi, oltre ai presunti russi)
A tutto ciò si aggiunge un altro dettaglio legato invece proprio a Solarwinds. Secondo fonti Reuters, circa un anno fa, cioè in contemporanea a questa storia, hacker cinesi avrebbero sfruttato una vulnerabilità dei prodotti Solarwinds per colpire il dipartimento dell’Agricoltura americano. Diversamente dagli attaccanti presunti russi, che hanno usato proprio il loro accesso a Solarwinds per infiltrare i target con gli aggiornamenti di Orion, gli hacker presunti cinesi avrebbero invece sfruttato questa vulnerabilità per muoversi meglio dentro un sistema che avevano già violato con altri mezzi. Il bug in questione comunque sarebbe stato chiuso a dicembre.
Ma non è finita qua…. Una società di sicurezza, Trustwave, avrebbe poi trovate altre due diverse vulnerabilità critiche. Dunque, scrive Cyberscoop, mentre le persone applicavano le patch (le correzioni) contro la backdoor usata nella campagna di spionaggio, una di queste vulnerabilità avrebbe dato la possibilità agli attaccanti di rientrare nei sistemi, anche dopo la rimozione della backdoor (sfruttare la vulnerabilità, che Solarwinds ora ha chiuso, comunque richiedeva che i sistemi target fossero esposti su internet).
Se ascoltate il podcast Chat di Rete parliamo proprio della questione Solarwinds in dettaglio.
TIKTOK
Come TikTok dovrebbe bloccare i minori di 13 anni
Dal 9 febbraio TikTok bloccherà tutti gli utenti italiani e chiederà loro di indicare di nuovo la data di nascita per continuare a usare l'app. Una volta identificato un utente al di sotto dei 13 anni, il suo account verrà rimosso. A comunicarlo è stato il Garante della Privacy.
La decisione di TikTok deriva da un accordo con il nostro Garante come prima misura per impedire l'accesso a minori di 13 anni (che sarebbe l'età minima stabilita dallo stesso social, ma finora non sempre rispettata dagli utenti), scrive Repubblica. Come però spiega al quotidiano lo stesso Guido Scorza, relatore del provvedimento presso il Garante, il sistema non impedisce agli utenti di mentire. Semplicemente “bloccherà per sempre gli account che dichiarano un'età inferiore ai 13 anni. Finora invece permetteva dopo 24 ore di dichiarare un'età maggiore e quindi accedere al servizio". Dunque “il blocco definitivo non ostacolerà gli attuali utenti che già hanno dichiarato il falso (lo dichiareranno di nuovo), ma può essere più efficace verso i nuovi iscritti che non hanno in prima battuta l'idea di mentire sull'età”.
Altra novità, introdotta il 25 gennaio - scrive Corriere - un pulsante che permette di segnalare all’app altri utenti che sembrano avere meno di 13 anni. “E questo è il classico sistema adottato dalle piattaforme per la moderazione dei contenuti, cui segue un controllo del revisore in carne e ossa e l’eventuale rimozione. A questo proposito: TikTok ha promesso di raddoppiare i revisori italiani. A quanto risulta, nei prossimi sei mesi dovrebbero diventare poco meno di 800. L’impiego della tecnologia da parte dell’app per verificare autonomamente se gli utenti già registrati hanno mentito e non stanno rispettando le regole della piattaforma o la legge italiana è stato citato solo in potenza. TikTok ha detto al Garante italiano che «valuterà ulteriormente l’uso di sistemi di intelligenza artificiale» e si confronterà con il Garante irlandese, responsabile dell’applicazione del Regolamento europeo per la privacy, per trovare «un bilanciamento tra la necessità di accurate verifiche e il diritto alla protezione dei dati dei minori”.
In conclusione, come scrive Martina Pennisi in un altro articolo del Corriere, “Dal confronto fra TikTok (...) e il Garante (...) siamo usciti con la consapevolezza disarmante che una soluzione immediata, ma anche a breve termine, al problema della presenza dei minori sui social network non c’è, o quantomeno non verrà applicata”.
Nel frattempo, a livello globale, TikTok annuncia l’introduzione di una nuova funzione (per ora per Usa e Canada) di avvisi che allertano un utente di stare per condividere un video che contiene informazioni non verificate (l’app si appoggia a dei fact-checker per questo). L’idea sarebbe di contrastare la diffusione di disinformazione e cattiva informazione.
Axios
BITCOIN
50 milioni di bitcoin confiscati ma inaccessibili
La polizia e le autorità tedesche hanno confiscato più di 50 milioni di euro in bitcoin da un truffatore, che era stato condannato a due anni per aver installato su computer altrui dei programmi con cui minare criptovalute. Ma non possono incassare i soldi perché non hanno la password, e non sono riusciti a “craccarla” in altri modi, scrive Reuters. Però si sono assicurati che l’uomo, tornato in libertà, non possa comunque accedere.
APPROFONDIMENTI
USA
Il 6 gennaio, nell’assalto a Capitol Hill, c’erano vari gruppi estremisti, dai Proud Boys ai seguaci di QAnon, ai nazionalisti bianchi, agli Oath Keepers (milizia antigovernativa di estrema destra). Ma tra i gruppi più pericolosi c’erano anche membri del Bogaloo Bois che sognano l’insurrezione armata e che si organizzano online. Molti hanno esperienze o legami militari. Inchiesta di ProPublica/Frontline (inglese).
USA
La bibbia neonazista che ha fatto 200 morti e ispirato l’assalto al Congresso Usa: “Il libro più pericoloso dell’epoca contemporanea” - Valigia Blu
CENSURA
India: le proteste degli agricoltori, la chiusura di Internet e la richiesta del governo di bloccare diversi account Twitter: “Si sta uccidendo la democrazia”
Valigia Blu
SOCIETA’
’Francia, in migliaia denunciano sui social le violenze sessuali subite da bambini. Vittima il 10% della popolazione #MeTooInceste
Valigia Blu
GIORNALISMO
Come Bellingcat sta trasformando il giornalismo investigativo - Brian Whitaker (inglese)
DATI CONTROLLO E PANDEMIA
COVID-19 from the Margins. Pandemic Invisibilities, Policies and Resistance in the Datafied Society (raccolta saggi in inglese) - Network Cultures
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! O diventa un suo sostenitore facendo una donazione. E’ in corso una campagna per raccogliere fondi.
La newsletter resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.