Una filiale dello sviluppatore di antivirus Avast ha venduto ogni termine di ricerca. Ogni clic. ogni acquisto. da ogni sito. Tra i suoi clienti c’erano Google, Microsoft, Pepsi e altri.
Questo episodio risale a un anno fa. A seguito di un’indagine, Avast ha dichiarato che avrebbe interrotto la raccolta di dati per Jumpshot e interrotto con urgenza tutte le transazioni con esso. Abbiamo tradotto questa emozionante storia nella sua interezza e vi invitiamo a leggere e a trarre le vostre conclusioni.
Utilizzato da milioni di persone in tutto il mondo, l’antivirus Avast vende dati sensibili dei propri utenti a grandi aziende, secondo un’indagine congiunta di Motherboard e PCMag . I documenti interni trapelati dimostrano il commercio di dati altamente sensibili, inclusa la cronologia del browser degli utenti.
I documenti di una sussidiaria di Avast chiamata Jumpshot fanno luce sul commercio segreto e sulle catene di approvvigionamento delle cronologie dei browser degli utenti. Mostrano che dopo aver installato Avast sul suo computer, inizia a raccogliere dati e li trasferisce a Jumpshot, dopodiché vengono venduti a molte aziende globali come Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit e altri. . Alcune di queste aziende pagano milioni di dollari per ricevere dati su ogni clic che fai, che consente loro di analizzare il tuo comportamento online.
Avast ha una base utenti di circa 435 milioni di utenti e 100 milioni di dispositivi. Hanno tutti firmato un accordo con l’utente per raccogliere dati, ma alcuni utenti hanno detto a Motherboard e PCMag che non sapevano quali dati venivano raccolti o che erano stati raccolti. La domanda sorge spontanea: quanto erano informati gli utenti?
Di che tipo di dati stiamo parlando? Informazioni su ricerche Google, navigazione siti web, coordinate GPS da Google Maps, visite a LinkedIn, YouTube e siti porno. Sebbene questi dati non contengano alcun nome, gli utenti possono essere facilmente identificati sulla base di essi.
Jumpshot ha affermato a luglio che stava divulgando i dati per offrire ai professionisti del marketing una comprensione più profonda del mercato online. Jumpshot ha precedentemente elencato pubblicamente alcuni dei suoi clienti come Expedia, IBM, Intuit, TurboTax, Loreal e Home Depot. Ai dipendenti è stato consigliato di non parlare pubblicamente del rapporto di Jumpshot con queste società.
Fino a poco tempo fa, Avast raccoglieva dati utilizzando un’estensione del browser creata per limitare l’accesso a siti Web dannosi. Il ricercatore di sicurezza informatica e creatore di AdBlock Plus, Vladimir Palant, ha pubblicato un post sul blog a riguardo. Poco dopo, Mozilla, Opera e Google Chrome hanno rimosso questa estensione dai loro browser. Avast ha precedentemente spiegato questa raccolta e condivisione di dati in un blog e forum nel 2015. Da allora, Avast ha promesso di interrompere l’invio dei dati di navigazione raccolti da queste estensioni a Jumpshot, ha dichiarato Avast in una dichiarazione a Motherboard e PCMag.
Tuttavia, la raccolta dei dati è continuata. Se Avast lo faceva tramite un’estensione del browser, ora ha iniziato a farlo tramite il suo antivirus
Motherboard e PCMag hanno contattato più di due dozzine di aziende citate in documenti interni. Pochi hanno risposto alle domande su cosa fanno con i dati basati sulla cronologia delle ricerche degli utenti Avast.
“A volte utilizziamo le informazioni di fornitori terzi per migliorare la nostra attività, prodotti e servizi. Richiediamo che questi fornitori dispongano dei diritti appropriati per condividere queste informazioni con noi. In questo caso, riceviamo dati utente anonimi che non possono essere utilizzati per identificare i singoli clienti ", ha scritto un portavoce di Home Depot in una dichiarazione inviata via e-mail.
Microsoft ha rifiutato di commentare le specifiche del motivo per cui ha acquistato i dati da Jumpshot, ma ha affermato di non avere attualmente alcun rapporto con la società. Southwest Airlines ha affermato di aver discusso della possibilità di lavorare con Jumpshot, ma le società non hanno raggiunto un accordo. IBM ha detto che non era un cliente e Altria ha detto che non funzionava nemmeno con Jumpshot, anche se non ha specificato se lo avesse fatto in precedenza. Sephora ha dichiarato che non funziona con Jumpshot. Google non ha mai risposto alla richiesta.
Sul suo sito Web e nei comunicati stampa, Jumpshot nomina Pepsi e i giganti della consulenza Bain & Company e McKinsey come clienti. Elenca inoltre alcuni esempi di utilizzo dei dati della cronologia di navigazione web. L’ editore e gigante dei media digitali Condé Nast, ad esempio, ha utilizzato i prodotti di Jumpshot per vedere se la pubblicità dell’azienda ha portato a maggiori vendite su Amazon e altrove.
Tutto Fare clic su Feed
Non è tutto, c’era un altro prodotto Jumpshot chiamato All Click Feed. Ti consente di acquistare informazioni su tutti i clic che Jumpshot ha registrato su un dominio specifico, come Amazon.com, Walmart.com, Target.com, BestBuy.com o Ebay.com.
I dati Jumpshot potrebbero mostrare come qualcuno con Avast installato sul proprio computer abbia cercato un prodotto su Google, fatto clic su un collegamento ad Amazon, quindi possibilmente aggiunto l’articolo al proprio carrello su qualche altro sito Web prima di effettuare un acquisto.
Secondo una copia del contratto Jumpshot, una delle società che ha acquistato All Clicks Feed è la società di marketing Omnicom Media Group con sede a New York. Jumpshot ha consentito a Omnicom di accedere a tutti i clic degli utenti in 14 paesi diversi, tra cui Stati Uniti, Inghilterra, Canada, Australia e Nuova Zelanda. I dati includevano anche il sesso stimato degli utenti, la loro età stimata e una "stringa URL completa", ma con le informazioni personali rimosse, afferma il contratto.
Secondo il contratto con Omnicom, l’"ID dispositivo" di ogni utente è sottoposto ad hashing, il che significa che l’azienda che acquista i dati non deve essere in grado di identificare esattamente chi c’è dietro ogni visualizzazione. Invece, i prodotti Jumpshot dovrebbero aiutare le aziende a scoprire quali prodotti sono particolarmente apprezzati o quanto è efficace la loro campagna pubblicitaria.
Ma i dati di Jumpshot potrebbero non essere completamente anonimi. La guida interna del prodotto afferma che gli ID dispositivo non cambiano per utente a meno che l’utente non disinstalli e reinstalli completamente il software di sicurezza. Numerosi articoli e studi accademici hanno dimostrato come l’identità di una persona possa essere conosciuta utilizzando dati apparentemente anonimi. Ciò è stato confermato dai giornalisti del New York Times nel 2006 e dai ricercatori della Stanford University nel 2017.
La deanonimizzazione diventa un problema molto più grande se si considera che gli utenti finali dei dati Jumpshot possono combinarli con i propri dati.
"La maggior parte delle minacce poste dalla deanonimizzazione deriva dalla capacità di combinare informazioni con altri dati".
Un timestamp accurato al millisecondo potrebbe consentire a un’azienda con il proprio database di clienti di vedere un utente visitare il proprio sito e quindi seguirlo attraverso altri siti utilizzando Jumpshot.
"È quasi impossibile spersonalizzare i dati", ha dichiarato Eric Goldman, professore alla Santa Clara University School of Law.
I giornalisti di Motherboard e PCMag hanno posto ad Avast una serie di domande dettagliate su come protegge l’anonimato degli utenti, nonché i dettagli di alcuni contratti dell’azienda. Avast non ha risposto alla maggior parte delle domande, ma ha scritto in una dichiarazione: "Attraverso il nostro approccio, ci assicuriamo che Jumpshot non riceva alcuna informazione identificativa, inclusi nome, indirizzi e-mail o dettagli di contatto, da persone che utilizzano il nostro popolare software antivirus gratuito".
"Abbiamo una vasta esperienza nella protezione dei dispositivi e dei dati degli utenti dal malware e comprendiamo e prendiamo sul serio la responsabilità di bilanciare la privacy degli utenti con l’uso necessario dei dati", afferma la dichiarazione.
La società ha anche affermato di essere conforme al California Consumer Privacy Act (CCPA) e al regolamento europeo sulla protezione dei dati (GDPR) per l’intera base di utenti.
Quando l’editor di PCMag ha installato per la prima volta il prodotto antivirus Avast, il programma ha effettivamente chiesto se voleva prendere parte alla raccolta dei dati.
"Se dai il permesso, concederemo alla nostra consociata Jumpshot Inc. raccolta di dati anonimizzati ottenuti dalla tua cronologia di navigazione al fine di consentire a Jumpshot di analizzare i mercati e le tendenze commerciali e raccogliere altre informazioni preziose", tuttavia, la finestra pop-up non ha detto nulla su come Jumpshot utilizza questi dati.
UPD: risposta ufficiale di Avast
“Avast ha chiuso Jumpshot nel gennaio 2020, interrompendo così i trasferimenti di dati. Il nostro obiettivo è rendere Internet più sicuro e proteggere le informazioni personali delle persone. Pertanto, nel 2020 abbiamo adottato misure per migliorare la protezione dei dati, assumendo un Chief Privacy Officer che continua a guidare la nostra strategia di protezione dei dati e condividere esperienze con organizzazioni come TOR e Future of Privacy Forum. La nostra politica sulla privacy è stata certificata da TRUSTe. In futuro, continueremo ad agire per garantire la privacy degli utenti".
Per gentile concessione di Vice e PCMag
Immagine di copertina: Monika Kovacs