L'app antivirus di Avast vende "ogni ricerca", "ogni clic", "ogni acquisto su ogni sito che visiti". Gli acquirenti includono Home Depot, Google, Microsoft, Pepsi e McKinsey.
(pubblicato con abbreviazioni)
Utilizzato da centinaia di milioni di persone in tutto il mondo, un programma antivirus vende dati di navigazione web personali a molte delle più grandi aziende del mondo. Ciò è dimostrato da un'indagine congiunta dei portali Motherboard e PCMag. Il materiale si basa su documenti aziendali "trapelati" che dimostrano che la società proprietaria dell'antivirus vende dati altamente riservati.
I documenti, di proprietà di Jumpshot, una sussidiaria del gigante degli antivirus Avast, gettano nuova luce sulla storia nascosta della vendita di dati personali su Internet. L'antivirus Avast installato sul computer di una persona raccoglie i dati e Jumpshot li "riconfeziona" in vari prodotti, che vengono poi venduti a molte delle più grandi aziende del mondo. La lista della spesa include giganti come Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit e molti altri. Alcuni clienti hanno pagato milioni di dollari per prodotti che includono un cosiddetto "canale all-click", in grado di monitorare il comportamento degli utenti, i clic e la navigazione del sito Web con elevata precisione.
Avast afferma di avere oltre 435 milioni di utenti attivi mensilmente e Jumpshot raccoglie dati da 100 milioni di dispositivi. Avast raccoglie i dati degli utenti e quindi li invia a Jumpshot, ma diversi utenti Avast hanno dichiarato a Motherboard di non essere a conoscenza della condivisione dei propri dati con terze parti.
Secondo Motherboard e PCMag, questi dati personali includevano ricerche su Google, posizioni di Google Maps e coordinate GPS, pagine LinkedIn, video privati di YouTube e informazioni sui siti porno visitati. Utilizzando il pool di dati raccolti, è possibile determinare quando un utente anonimo ha visitato YouPorn e PornHub, e in alcuni casi anche ricerche e video specifici guardati.
Sebbene i set di dati non includano informazioni personali come i nomi utente, contengono comunque molti dati specifici e gli esperti dicono che non è così difficile deanonimizzare una determinata persona che li utilizza.
In un comunicato stampa pubblicato a luglio, Jumpshot afferma di essere "l'unica azienda a rivelare una serie di segreti" e si impegna a "fornire agli operatori di marketing una comprensione più approfondita dell'attività online dei clienti". "Sono molto dettagliati e di grande interesse per gli acquirenti perché sono al livello del dispositivo con un timestamp", ha commentato la fonte di Motherboard, citando le specifiche e la sensibilità dei dati venduti.
Video promozionale:
Fino a poco tempo, Avast raccoglieva dati sul traffico dai clienti che installavano un plug-in del browser sviluppato dalla società per avvisare gli utenti di siti Web sospetti. Il ricercatore di sicurezza e creatore di AdBlock Plus, Vladimir Palant, ha pubblicato un post sul blog a ottobre sostenendo che Avast raccoglie i dati degli utenti utilizzando il plug-in. Poco dopo, i produttori di browser Mozilla, Opera e Google hanno rimosso le estensioni Avast dai rispettivi negozi. Avast ha precedentemente spiegato questa raccolta e condivisione di dati in un blog e post nel forum nel 2015. Da allora, Avast avrebbe smesso di inviare i dati di navigazione raccolti da queste estensioni.
Tuttavia, la raccolta dei dati continua, indicano la fonte e i documenti. Invece di raccogliere informazioni utilizzando il software connesso al browser, Avast lo fa utilizzando l'antivirus stesso. La scorsa settimana, mesi dopo che è stato scoperto utilizzando le sue estensioni del browser per inviare dati a Jumpshot, Avast ha iniziato a chiedere ai suoi clienti antivirus di consentire la raccolta dei dati. "Se gli utenti sono d'accordo, il dispositivo inizia a registrare tutte le attività online del cliente", afferma il manuale interno del prodotto.
Motherboard e PCMag hanno contattato più di due dozzine di aziende menzionate in documenti interni. Pochi hanno risposto alle domande su cosa fanno con i dati in base alla cronologia di navigazione degli utenti Avast.
"A volte utilizziamo le informazioni di fornitori di terze parti per migliorare la nostra attività, i nostri prodotti e servizi. Richiediamo che questi fornitori abbiano i diritti appropriati per fornirci queste informazioni. In questo caso, riceviamo dati anonimi sul pubblico che non possono essere utilizzati per identificare i singoli clienti ", ha affermato un portavoce di Home Depot tramite e-mail.
Microsoft ha rifiutato di commentare le specifiche dell'acquisizione di prodotti da Jumpshot, ma ha affermato di non avere un rapporto continuativo con la società. Un portavoce di Yelp ha scritto in una e-mail: "Nel 2018, nell'ambito di una richiesta di informazioni antitrust, al team di Yelp è stato chiesto di valutare l'impatto di Google sul mercato dei motori di ricerca locale. Jumpshot è stato utilizzato in un momento."
Southwest Airlines ha detto di aver discusso una partnership con Jumpshot ma non ha raggiunto un accordo con la compagnia. IBM ha detto che non funzionava con Jumpshot e Altria ha detto che non funzionava con Jumpshot ora, anche se non ha indicato se lo avesse fatto prima. Sephora ha affermato che questo non funziona con Jumpshot. Google non ha risposto a una richiesta di commento.
Sul suo sito web e nei comunicati stampa, Jumpshot nomina Pepsi nonché i giganti della consulenza Bain & Company e McKinsey come clienti.
Oltre a Expedia, Intuit e Loreal, altre società non ancora presenti negli annunci pubblici di Jumpshot includono la società di caffè Keurig, YouTube vidIQ e Hitwise, una società di ricerca sui consumatori. Nessuna di queste società ha risposto a una richiesta di commento.
Sul suo sito Web, Jumpshot elenca alcuni dei casi d'uso precedenti per i suoi dati. Ad esempio, Condé Nast ha utilizzato i prodotti Jumpshot per vedere se l'annuncio di una società di media ha portato ad acquisti su Amazon e altrove. Condé Nast non ha risposto a una richiesta di commento.
Jumpshot vende vari prodotti in base ai dati raccolti dal software antivirus Avast installato sui computer degli utenti. I clienti nel settore della finanza istituzionale spesso acquistano canali da 10.000 domini visitati dagli utenti Avast per cercare di individuare le tendenze, afferma la guida del prodotto.
Un altro prodotto Jumpshot è il cosiddetto "All Click Feed". Ciò consente al cliente di acquistare informazioni su tutti i clic che Jumpshot ha visto su un dominio specifico, come Amazon.com, Walmart.com, Target.com, BestBuy.com o Ebay.com.
In un tweet pubblicato il mese scorso con l'obiettivo di attirare nuovi clienti, Jumpshot ha notato che raccoglie “Ogni ricerca. Ogni clic. Informazioni su ogni acquisto su ogni sito.
I dati di Jumpshot possono mostrare qualcuno con Avast installato sul proprio computer che cerca su Google un prodotto, che fa clic su un collegamento che porta ad Amazon e quindi, eventualmente, aggiunge l'articolo al carrello su un altro sito Web prima di finalmente, acquista un prodotto.
Una delle società che hanno acquisito All Clicks è la società di marketing con sede a New York Omnicom Media Group. In base al contratto, Omnicom ha pagato a Jumpshot 2.075.000 dollari per l'accesso ai dati nel 2019. L'accordo includeva anche un altro prodotto chiamato Insight Feed per 20 diversi domini. Gli addebiti per i dati nel 2020 e poi nel 2021 sono indicati rispettivamente a $ 2.225.000 e $ 2.275.000, afferma il documento.
Jumpshot ha consentito a Omnicom di accedere a tutti i canali di clic di 14 paesi diversi, inclusi Stati Uniti, Inghilterra, Canada, Australia e Nuova Zelanda. Il prodotto include anche il sesso previsto degli utenti "in base al comportamento di navigazione", la loro età stimata e "l'intera stringa URL", ma con la rimozione delle informazioni di identificazione personale (PII).
Omnicom non ha risposto a diverse richieste di commento.
Per contratto, l '"ID dispositivo" di ciascun utente viene sottoposto ad hashing, il che significa che la società che acquista i dati non deve essere in grado di determinare chi c'è esattamente dietro ogni visualizzazione. Invece, i prodotti Jumpshot dovrebbero aiutare le aziende a capire quali prodotti sono particolarmente apprezzati o quanto sia efficace una campagna pubblicitaria.
Ma i dati di Jumpshot non possono essere completamente anonimi. Il manuale interno del prodotto afferma che gli ID dispositivo non cambiano per ogni utente "a meno che l'utente non disinstalli e reinstalli completamente il software di sicurezza". Numerosi articoli e studi scientifici hanno dimostrato che è del tutto possibile esporre le persone utilizzando i cosiddetti dati anonimi. Nel 2006, i giornalisti del New York Times sono stati in grado di identificare una persona specifica da una cache di dati di ricerca presumibilmente anonimi che sono stati rilasciati pubblicamente da AOL. Mentre i dati verificati erano più concentrati sui collegamenti ai social media modificati da Jumpshot, uno studio del 2017 presso la Stanford University ha scoperto che era possibile identificare le persone da dati anonimi online.
Motherboard e PCMag hanno posto ad Avast una serie di domande dettagliate su come protegge l'anonimato degli utenti e hanno anche richiesto dettagli su alcuni dei contratti dell'azienda. Avast non ha risposto alla maggior parte delle domande, ma ha rilasciato una dichiarazione: "Attraverso il nostro approccio, ci assicuriamo che Jumpshot non riceva informazioni di identificazione personale, inclusi il nome, l'indirizzo e-mail o i dettagli di contatto delle persone che utilizzano il nostro popolare software antivirus gratuito".
"Gli utenti hanno sempre avuto la possibilità di disattivare la comunicazione con Jumpshot. A partire da luglio 2019, abbiamo già iniziato a implementare scelte esplicite per tutti i nuovi download del nostro antivirus e ora stiamo anche richiedendo il consenso dei nostri utenti gratuiti esistenti, un processo che sarà completato a febbraio 2020 ", ha detto un portavoce di Avast, aggiungendo che la società è conforme al California Consumer Protection Act (CCPA) e al Regolamento europeo generale sulla protezione dei dati (GDPR) per l'intera base utenti globale.
"Abbiamo una lunga esperienza nella protezione dei dispositivi e dei dati degli utenti dal malware e comprendiamo e prendiamo seriamente la responsabilità di bilanciare la privacy degli utenti con l'uso necessario dei dati", afferma la dichiarazione.
Quando un giornalista di PCMag ha installato per la prima volta il prodotto antivirus di Avast questo mese, il programma ha chiesto se voleva partecipare alla raccolta dei dati.
"Per favore, forniremo alla nostra controllata Jumpshot Inc. un set di dati dedicato e deidentificato derivato dalla cronologia di navigazione in modo che Jumpshot possa analizzare i mercati e le tendenze aziendali e raccogliere altre preziose informazioni ", afferma il messaggio. Tuttavia, il pop-up non ha dettagliato esattamente come Jumpshot utilizza questi dati.
“Le informazioni sono completamente anonimizzate e aggregate, non possono essere utilizzate per l'identificazione personale. Jumpshot può condividere informazioni aggregate con i propri clienti , ha aggiunto un popup.
Aggiornamento: in seguito al rilascio di questa indagine, Avast ha annunciato che sospenderà la raccolta dei dati utilizzando Jumpshot.
Di Joseph Cox
