L’antivirus Avast raccoglie i dati degli utenti per cederli a terze parti: la denuncia arriva da Wladimir Palant, creatore dell’estensione Adblock Plus, che ha svelato i dettagli della sua scoperta alla rivista PCMag. Sotto accusa le estensioni per browser Chrome e Firefox di Avast e della sua controllata AVG che, secondo Palant, catturano i dati delle ricerche e li forniscono alle aziende per scopi di marketing. Sia Google che Mozilla hanno immediatamente rimosso le estensioni.
Avast aveva replicato alla denuncia di Palant, arrivata a dicembre, spiegando che la cronologia delle ricerche web è privata dei dati personali degli utenti prima di essere ceduta a terze parti. “I dati sono anonimizzati e aggregati”, ha detto la società. E gli utenti devono comunque dare il consenso (opt-in) per la condivisione dei dati. La privacy, secondo Avast, è tutelata. Ma un’ulteriore indagine pubblicata oggi da PCMag e da Motherboard sembra smentire le rassicurazioni di Avast: l’attività web “anonimizzata e aggregata” può in realtà essere disaggregata e permettere di risalire alle ricerche del singolo utente di Avast e anche ai suoi dati personali.
Sotto accusa la filiale Jumpshot
A occuparsi di vendere i dati degli utenti non è Avast direttamente, ma una sua divisione chiamata Jumpshot, che offre accesso al traffico degli utenti del prodotto antivirus da 100 milioni di device, inclusi Pc e smartphone, scrive PCMag. In cambio i clienti — grandi marchi e aziende dell’e-commerce – possono conoscere quello che comprano i consumatori e su quali siti, per esempio da una ricerca su Google o Amazon, da una pubblicità inserita in un articolo di un giornale online o da un post su Instagram.
Non è facile risalire ai client di Jumpshot. Il sito dell’azidenda dice di aver lavorato con Ibm, Microsoft e Google. Microsoft ha negato di avere alcuna collaborazione al momento con Jumpshot e anche Ibm ha smentito di essere stata cliente di Avast o Jumpshot. Google non ha rilasciato commenti. Altri clienti citati da Jumpshot includono Unilever, Nestle Purina, Kimberly-Clark, McKinsey e GfK. Nessuna azienda ha confermato quanto riportato da PCMag.
Come si risale dai dati “anonimi” alle identità delle persone
I dati raccolti da Jumpshot sono così granulari che le aziende clienti possono vedere i singoli click degli utenti su ogni sessione di navigazione. Anche se i dati non sono collegati al nome, email o indirizzo Ip di una persona, l’attività di browsing dell’utente è seguita passo dopo passo e identificata con un device ID, che resta anche quando l’utente disinstalla il prodotto antivirus di Avast. Per esempio, un singolo click dell’utente potrebbe essere visionato dall’azienda che ha comprato i dati in questo modo: Device ID: abc123x Data: 01/12/2019 Ora Minuto e secondo: 12:03:05 Dominio: Amazon.com Prodotto: Apple iPad Pro 10.5 – Modello 2017 – 256GB, Rose Gold Azione: Aggiungi al carrello
Se Amazon.com comprasse i dati di Avast risalire all’utente non sarebbe affatto difficile: l’azienda sa chi è che ha comprato quell’iPad il primo dicembre 2019 alle 12.03. E così il misterioso device ID 123abcx si trasforma in un nome e cognome, email e indirizzo. Qualunque dato Jumpshot possieda sull’attività di 123abcx – dalle ricerche su Google a altri acquisti su piattaforme e-commerce – non sono più veramente anonimi. PCMag e Motherboard hanno appreso questi dettagli sulla raccolta di dati di Avast da una fonte che conosce i prodotti di Jumpshot.
Le due testate hanno poi interpellato degli esperti di privacy che hanno confermato i rischi di esposizione e violazione dei dati personali. I dati forniti da Jumpshot sono effettivamente anonimizzati, ma in mano ad aziende come Amazon e Google, che li uniscono ai dati in loro possesso, possono far risalire all’identità dell’utente.
“Spiati” anche i video sui social
Jumpshot offre diversi prodotti ai suoi clienti. Alcuni si concentrano sulle ricerche online, incluse le parole chiave digitate e i risultati di ricerca su cui l’utente ha cliccato. Altri prodotti tracciano quali video gli utenti guardano su YouTube, Facebook e Instagram. Altri analizzano i siti di e-commerce per aiutare i marketer a capire come gli utenti arrivano a quella piattaforma per fare acquisti.
In un caso Jumpshot ha offerto a un cliente (Omnicom) il pacchetto completo o “All Clicks Feed”: tutti i click raccolti dagli utenti di Avast inclusivi dei device ID per ciascun click.
Avast non ha risposto alle domande inviate dalle testate informatiche ma ha detto che non raccoglie più i dati degli utenti per scopi di marketing tramite le estensioni browser Avast e AVG. Tuttavia, secondo PCMag, Jumpshot può ancora catturare i dati dell’attività di navigazione Internet tramite le principali applicazioni antivirus su Avast per desktop e mobile.
