Con oltre 435 milioni di utenti attivi a livello globale (fonte sito ufficiale), le soluzioni offerte da Avast per la sicurezza di computer e dispositivi mobile sono tra le più diffuse al mondo. Oltre a proteggere PC, smartphone e tablet potrebbero però costituire una minaccia per la privacy dei loro utilizzatori: è quanto svela oggi il risultato di un’indagine condotta da Motherboard e PCMag.
Jumpshot: così Avast vende i dati degli utenti
La sussidiaria Jumpshot del gruppo sarebbe infatti responsabile della cessione (vendita) a terze parti di dati personali e sensibili riguardanti gli utenti e la loro attività online: la cronologia dei siti visitati, gli acquisti effettuati online, persino i singoli click come riportato nell’immagine promozionale condivisa dal team il mese scorso.
Tutte le ricerche. Tutti i click. Tutti gli acquisti. Su tutti i siti.
Questa la dinamica: l’antivirus, così come gli altri software distribuiti dall’azienda, si occupa della raccolta, poi Jumpshot si occupa di confezionarle all’interno di appositi pacchetti offerti successivamente a potenziali clienti per finalità di profilazione, marketing e advertising. Tra le aziende potenzialmente interessate all’acquisto, secondo il report, anche Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Expedia, TripAdvisor, IBM, vidIQ, TurboTax, Loreal e Intuit. Insomma, colossi dell’universo hi-tech, ma non solo, anche realtà che basato parte del proprio business sull’e-commerce.
Cronologia di navigazione, anche sui siti XXX
Queste alcune delle informazioni raccolte e poi cedute da Avast tramite Jumpshot: ricerche, coordinate GPS delle località cercate su Maps, visite alle pagine delle aziende su LinkedIn, riproduzione di alcuni particolari video YouTube e accesso a siti porno. Le fondi dello studio affermando che sulla base dei dati in questione è possibile stabilire in che giorno e a che ora un utente anonimo ha visitato portali come YouPorn e PornHub, arrivando talvolta a identificare i termini digitati per trovare le clip e quelle guardate. È bene precisare che tra le informazioni non sono presenti nomi e cognomi, ma facendo leva sulla cronologia in molti casi non è difficile risalirvi.
Negli ultimi mesi abbiamo scritto più volte dei prodotti Avast su queste pagine. Prima in ottobre per via di un attacco ai server del software CCleaner, poi a dicembre quando Mozilla ha annunciato la cancellazione di quattro estensioni Firefox (alcune delle quali sviluppate dalla controllata AVG) ritenute responsabili di aver allungato le mani sulle attività di navigazione.
Opt-in e clienti
Dopo aver interrotto la raccolta di dati tramite i plugin per i browser, lo sviluppatore ha iniziato a chiedere agli utenti di programmi e app antivirus la disponibilità a far parte del programma Jumpshot Panel, tramite opt-in. Sono però in molti a lamentare una mancata trasparenza nel rendere noto che le informazioni così concesse finiscono nelle mani di terze parti, acquistate con finalità di profilazione o a scopi pubblicitari.
Tra i clienti di Jumpshot interpellati dagli autori del report, pochi hanno replicato alla richiesta di chiarimenti. Microsoft si è trincerata dietro al più classico dei no comment, limitandosi ad affermare che al momento non ha collaborazioni attive con l’azienda, Google non ha risposto, mentre Home Depot ha affermato “di tanto in tanto utilizziamo informazioni provenienti da provider di terze parti per migliorare il nostro business, i nostri prodotti e i nostri servizi”, sottolineando come si tratta sempre di dati resi anonimi e “richiedendo ai fornitori di possedere il diritto alla loro condivisione”. IBM nega di essere mai stata cliente.
Tutti i click, tracciati
Uno dei prodotti offerti dalla sussidiaria di Avast si chiama All Click Feed. Consiste in un pacchetto che raccoglie tutti i click effettuati dagli utenti su un particolare dominio, ad esempio Amazon.com, Walmart.com, Target.com, BestBuy.com o eBay.com. Tra coloro che hanno scelto di affidarsi a questo servizio ci sarebbe la newyorkese Omnicom Media Group, staccando un assegno da 2,075 milioni di dollari. La cifra ha permesso alla società di consultare il comportamento degli utenti di 14 diverse nazioni da tutto il mondo compresi Stati Uniti, Inghilterra, Canada, Australia e Nuova Zelanda, con dettagli precisi a proposito di genere, età e URL visitati.
La replica di Avast
Riportiamo di seguito in forma tradotta e integrale la dichiarazione affidata da Avast alle redazioni di Motherboard e PCMag a proposito di quanto emerso.
Per via del nostro approccio, assicuriamo che Jumpshot non acquisisce informazioni identificative personali come nome, indirizzo email o dettagli del contatto da soggetti che utilizzano i nostri famosi software antivirus.
Gli utenti hanno sempre avuto la possibilità di interrompere la condivisione dei dati con Jumpshot. Nel luglio 2019 abbiamo iniziato a implementare un’esplicita modalità di opt-in con tutti i nuovi download del nostro antivirus, mostrandola poi anche agli utenti già attivi, un processo che sarà completato entro il febbraio 2020.
Abbiamo una lunga esperienza nel proteggere i dispositivi e le informazioni degli utenti contro i malware, consideriamo seriamente la responsabilità del dover bilanciare la tutela della privacy e l’utilizzo dei dati.
La software house sottolinea inoltre che la propria attività è pienamente conforme a quanto previsto sia dal CCPA statunitense sia dal GDPR europeo.
Do you remember the last time you cleaned your #browser history? Storing your browsing history for a long time can take up memory on your device and can put your private info at risk.
Read our blog post to learn how to clear your browsing history. ➤ https://t.co/PenUWeSXjk.
— AVGFree (@AVGFree) January 18, 2020
Curiosamente, proprio nei giorni scorsi l’account Twitter ufficiale di AVG ha pubblicato il post visibile qui sopra, rimandando al proprio sito per suggerimenti e consigli su come effettuare in modo efficace la pulizia della cronologia di navigazione.