Come l'antivirus Avast vende segretamente i dati di navigazione di milioni di utenti

Un programma antivirus usato da centinaia di milioni di persone nel mondo sta vendendo dati di navigazione sensibili a svariati colossi aziendali, ha rivelato un'indagine di Motherboard e PCMag. Il nostro resoconto si basa su un leak di dati utente, contratti, e altri documenti aziendali che mostrano anche come in molti casi era previsto che la vendita restasse confidenziale tra venditore e cliente.

I documenti, provengono da una filiale del colosso dell'antivirus Avast chiamata Jumpshot e mostrano che l'antivirus di Avast raccoglie i dati dell'utente che ha installato il programma sul computer, poi Jumpshot li riconfeziona in una varietà di prodotti diversi, che sono infine venduti alle più grandi aziende del mondo. La lista di clienti passati, presenti e potenziali include Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit e molti altri. Alcuni clienti pagano milioni di dollari per pacchetti che includono un cosiddetto "All Clicks Feed," che può tracciare le abitudini di un utente, i click e i movimenti in giro per i siti in modo molto dettagliato.

Avast sostiene di avere oltre 435 milioni di utenti attivi al mese, e Jumpshot dice di avere dati provenienti da 100 milioni di dispositivi. In teoria, Avast raccoglie e passa a Jumpshot i dati degli utenti che hanno dato il proprio consenso—ma più persone hanno detto a Motherboard di non essere consapevoli della vendita, il che solleva dubbi su quanto informato sia questo consenso.

I dati ottenuti da Motherboard e PCMag includono le ricerche su Google, le ricerche sui luoghi e le coordinate GPS su Google Maps, le visite alle pagine Linkedin delle aziende, determinati video su YouTube e le visite a siti porno. Dai dati raccolti, è possibile determinare la data e l'orario i cui un certo utente anonimizzato ha visitato YouPorn e PornHub, e in certi casi quali termini di ricerca ha inserito nel sito porno e quali video specifici ha guardato.

Per quanto i dati non includano informazioni personali come i nomi degli utenti, contengono comunque un'abbondanza di dati di navigazione specifici e gli esperti dicono che sia possibile de-anonimizzare certi utenti.

In un comunicato stampa di luglio, Jumpshot sostiene di essere "l'unica azienda capace di aprire dati murati" e cerca di "fornire agli addetti di marketing una visione estesa dell'intero percorso online." Jumpshot ha precedentemente parlato di alcuni dei propri clienti pubblicamente. Ma altre aziende menzionate nei documenti includono Expedia, IBM, Intuit, L'Oreal e Home Depot. Agli impiegati è chiesto espressamente di non parlare pubblicamente delle relazioni di Jumpshot con queste aziende.

"Sono dati granulari e importanti per queste aziende, perché arrivano a livello del dispositivo e hanno un timestamp," ha detto la fonte, in riferimento alla specificità e alla riservatezza dei dati venduti. Motherboard ha concesso l'anonimato alla fonte, affinché potesse parlare più candidamente dei processi di Jumpshot.

Fino a poco tempo fa, Avast raccoglieva i dati di navigazione degli utenti che avevano installato il plugin browser dell'azienda, che è progettato per mettere in guardia le persone dai siti sospetti. Il ricercatore in sicurezza e creatore di AdBlock Plus Wladimir Palant ha pubblicato un post sul suo blog a ottobre in cui mostrava come Avast usasse il plugin per raccogliere i dati degli utenti. Poco dopo, Mozilla, Opera e Goole hanno rimosso le estensioni di Avast e della filiale AVG dai rispettivi store di estensioni browser. In passato, Avast aveva descritto questa raccolta e condivisione dati in un post sul blog e in un post sul forum nel 2015. Da allora, ha smesso di passare i dati di navigazione raccolti da queste estensioni a Jumpshot, ha dichiarato Avast a Motherboard e PCMag.

Ad ogni modo, la raccolta dati è ancora attiva, stando alla fonte e ai documenti. Ma, anziché raccogliere le informazioni tramite un software legato al browser, Avast lo sta facendo tramite il software antivirus stesso. La settimana scorsa, mesi dopo che era stato notato usare le sue estensioni per mandare dati a Jumpshot, Avast ha iniziato a chiedere ai suoi utenti di acconsentire alla raccolta dati, stando a un documento interno.

"Se acconsentono, il dispositivo diventa parte del Jumpshot Panel e tutte le attività internet via browser verranno riferite a Jumpshot," si legge in un manuale interno. "Quali URL hanno visitato, in che ordine e quando?" aggiunge, riassumendo a quali domande il prodotto offerto potrebbe rispondere.

Il senatore americano Ron Wyden, che a dicembre scorso ha chiesto ad Avast perché vendesse i dati di navigazione degli utenti, ha dichiarato che, "è incoraggiante vedere che Avast ha cessato alcune delle sue pratiche più problematiche dopo aver discusso in modo costruttivo con il mio ufficio. Ad ogni modo, temo che Avast non sia ancora disposta a cancellare i dati raccolti e condivisi senza il consenso degli utenti, o mettere fine alla vendita di dati di navigazione sensibili. L'unica linea di condotta responsabile è la completa trasparenza con gli utenti da ora in poi, e l'eliminazione dei dati raccolti in condizioni sospette in passato."

Nonostante Avast al momento chieda agli utenti di acconsentire alla raccolta dati con un avviso pop-up lanciato dal software antivirus, diversi utenti hanno detto di non sapere che Avast stesse vendendo i loro dati di navigazione.

"Non ne ero consapevole," ha detto a Motherboard Keith, che usa la versione gratuita dell'antivirus di Avast e che ha preferito fornirci solo il suo nome. "Fa paura. In genere non do il consenso al tracciamento dei dati," ha detto, aggiungendo di non avere visto il nuovo pop-up.

"Non sapevo che lo facessero :(," ci ha detto un altro utente dell'antivirus gratuito di Avast via messaggio diretto su Twitter.

Motherboard e PCMag hanno contattato oltre 20 delle aziende che compaiono nei documenti interni. Solo una manciata ha risposto alle domande relative a come utilizzino i dati comprati da Avast.

"Alle volte usiamo le informazioni fornite da terze parti per migliorare i nostri prodotti e servizi. Chiediamo a questi fornitori di di avere i diritti dovuti per condividere queste informazioni con noi. In questo caso, abbiamo ricevuto dati anonimizzati, che non possono essere utilizzati per identificare utenti singoli," ha scritto in una mail un portavoce di Home Depot.

Microsoft ha declinato di commentare sul perché abbia comprato i prodotti di Jumpshot, ma ha detto di non essere in rapporti con l'azienda al momento. Un portavoce di Yelp ha scritto via mail che "Nel 2018, in relazione a una una richiesta di informazioni da parte delle autorità antitrust, è stato chiesto al team legale di Yelp di stimare l'impatto del comportamento anticoncorrenziale di Google sul mercato locale. Jumpshot è stato coinvolto una sola volta per generare un report di dati anonimizzati che validavano altre stime del sifonamento del traffico da parte di Google. Non c'è stata richiesta né accesso ad alcuna informazione personale."

La compagnia aerea Southwest Airlines ha detto di aver discusso con Jumpshot ma di non essere arrivati a un accordo. IBM ha detto di non avere memoria di essere loro cliente, e Altria ha detto di non lavorare con Jumpshot, ma non ha specificato se sia accaduto in passato. Google non ha risposto alla richiesta di commento.

Sul suo sito e nei comunicati stampa, Jumpshot nomina anche Pepsi e i colossi della consulenza Bain & Company e McKinsey tra i suoi clienti.

Oltre a Expedia, Intuit e L'Oréal, altre aziende che non sono già nominate negli annunci pubblici di Jumpshot includono l'azienda produttrice di caffè Keurig, il servizio di promozione per YouTube VdIQ, e l'azienda di analisi dei consumatori Hitwise. Nessuna di queste aziende ha risposto alla richiesta di commento.

Sul suo sito, Jumpshot elenca alcuni casi studio passati relativi all'utilizzo dei dati di navigazione. Il gigante dell'editoria cartacea e digitale Condé Nast, per esempio, ha usato i prodotti di Jumpshot per vedere se le campagne pubblicitarie dell'azienda avessero portato a un aumento degli acquisti su Amazon o altrove. Condé Nast non ha risposto alla nostra richiesta di commento.

OGNI CLICK

Jumpshot vende una varietà di prodotti diversi tutti basati sui dati raccolti dal software antivirus di Avast. I clienti nel settore della finanza spesso comprano un resoconto dei 10.000 domini principali che gli utenti visitano, con lo scopo di individuare trend, si legge nel manuale interno.

Un altro prodotto di Jumpshot è il cosiddetto "All Click Feed," che permette a un cliente di comprare le informazioni relative a tutti i click che Jumpshot ha visto su un particolare dominio, tipo Amazon.com, Walmart.com, Target.com, BestBuy.com, o Ebay.com.

In un tweet pubblicato il mese scorso con lo scopo di attirare nuovi clienti, Jumpshot diceva di raccogliere "Ogni ricerca. Ogni click. Ogni acquisto. Su ogni sito." [enfasi di Jumpshot.]

Dai dati raccolti era possibile vedere i movimenti di un utente che cerca un prodotto su Google, clicca su un link che porta ad Amazon, magari intanto mette un articolo nel carrello su un altro sito, per poi comprare il prodotto, ha spiegato la fonte che ha fornito i documenti.

Un'azienda che acquista il pacchetto All Clicks Feed è la Omnicom Media Group di New York, stando a una copia del contratto con Jumpshot. Omnicom ha pagato Jumpshot 2.075.000 dollari per avere accesso ai dati offerti nel 2019, si legge nel contratto—che includeva anche un altro prodotto chiamato "Insight Feed" per 20 domini diversi. Il corrispettivo per i dati nel 2020 e nel 2021 è segnato a 2.225.000 dollari e 2.275.000 dollari rispettivamente, si legge nel documento.

Jumpshot ha fornito a Omnicom l'accesso a click provenienti da 14 paesi diversi, compresi Stati Uniti, Inghilterra, Canada, Australia e Nuova Zelanda. Il prodotto include anche il genere sessuale degli utenti presunto "in base alle abitudini di navigazione," la loro presunta età e "le intere stringhe di URL" ma con le informazioni identificative personali (PII) rimosse, aggiunge il contratto.

Omnicom non ha risposto alle molteplici richieste di commento.

Stando al contratto di Omnicom, "l'ID del dispositivo" di ogni utente è cifrato, il che significa che l’azienda che compra i dati non dovrebbe essere in grado di identificare esattamente chi si nasconde dietro ogni frammento di attività online. Invece, lo scopo dei prodotti di Jumpshot è fornire delle informazioni utili alle aziende che vogliono sapere quali prodotti sono particolarmente popolari o quanto sono efficaci determinate campagne pubblicitarie.

“Ciò che non facciamo è riferire l’ID del dispositivo che ha eseguito i click, per cautela contro la triangolazione delle PII,” si legge in uno dei documenti interni di Jumpshot.

Ma i dati di Jumpshot potrebbero non essere poi così anonimi. Il manuale interno spiega che gli ID dei dispositivi non cambiano per ogni utente, “a meno che un utente non disinstalli e reinstalli del tutto il software di sicurezza.” Diversi studi e articoli hanno mostrato che è possibile riconoscere le persone partendo da dati cosiddetti anonimizzati. Nel 2006, alcuni giornalisti del New York Times sono riusciti a identificare una persona specifica da una cache di dati presunti anonimi che AOL aveva rilasciato. Nonostante i dati testati fossero più concentrati su link da social media, cosa che Jumpshot in qualche modo redige, uno studio del 2017 dell’Università di Stanford ha scoperto che è possibile identificare le persone anche dai dati di navigazione web anonimi.

“La de-identificazione si è dimostrata un processo particolarmente incline al fallimento. Ci sono troppi modi in cui può andare male,” ha detto Günes Acar, che studia il tracciamento via internet su larga scala alla Katholieke Universiteit di Leuven, in Belgio.

La de-anonimizzazione diventa un problema quando consideriamo come chi utilizza i dati di Jumpshot potrebbe combinarli con altri dati, ricavati in altro modo.

“La maggior parte delle minacce poste dalla de-anonimizzazione—per cui puoi identificare con precisione le persone—derivano dalla capacità di mescolare certe informazioni con altri dati,” ha detto Acar. Un insieme di dati di Jumpshot ottenuti da Motherboard e PCMag mostra come ogni URL visitato porti con sé un timestamp preciso al millisecondo, che potrebbe permettere a un’azienda munita di un proprio bacino di dati utenti di vedere quando un utente visita il loro sito per poi seguirlo su altri siti dai dati di Jumpshot.

“È pressoché impossibile de-identificare i dati,” ha detto Eric Goldman, professore di Legge all’Università di Santa Clara. “Quando qualcuno promette di farlo, non gli credo.” Motherboard e PCMag hanno posto ad Avast una serie di domande dettagliate su come protegga l’anonimato dei propri utenti e su quali siano le specifiche di altri contratti offerti dall’azienda. Avast non ha risposto alla maggior parte delle domande ma ha inviato una dichiarazione in cui spiega “per via del nostro approccio, assicuriamo che Jumpshot non acquisisce informazioni identificative personali, come nome, indirizzo email o dettagli di contatto, dalle persone che usano il nostro popolare software gratuito antivirus.”

“Gli utenti hanno sempre avuto la possibilità di negare il consenso alla condivisione dati con Jumpshot. A luglio 2019, avevamo già iniziato a implementare una opzione di consenso esplicito per tutti i nuovi download del nostro AV, e stiamo anche spingendo chi era già nostro utente a prendere una scelta in modo dichiarato, un processo che completeremo a febbraio 2020,” ha detto l’azienda, aggiungendo di rispettare il California Consumer Privacy Act (CCPA) e il Regolamento generale sulla protezione dei dati (GDPR) in vigore in Europa, per tutta la base utenti globale.

“Abbiamo una lunga tradizione alle spalle di protezione dei dispositivi e dei dati degli utenti dai malware e comprendiamo e prendiamo seriamente la responsabilità di bilanciare la privacy degli utenti con l’uso necessario dei dati,” prosegue la dichiarazione.

Quando PCMag ha installato l’antivirus di Avast per la prima volta questo mese, il software ha chiesto se volesse dare il consenso alla raccolta dati.

“Se acconsenti, forniremo alla nostra filiale Jumpshot Inc. un insieme di dati de-identificati derivanti dalla tua cronologia di navigazione con lo scopo di permettere a Jumpshot di analizzare i mercati e i trend e ricavare altre informazioni di valore,” si legge nel messaggio. Il pop-up non offre altri dettagli su come Jumpshot usi poi i dati di navigazione, però.

“I dati sono completamente de-identificati e aggregati e non possono essere utilizzati per rintracciarti direttamente. Jumpshot potrebbe condividere informazioni aggregate con i propri clienti,” aggiunge il pop-up.

Solo qualche giorno fa, l’account Twitter della filiale di Avast AVG ha twittato, “Riesci a ricordare l’ultima volta che hai ripulito la cronologia del tuo #browser? Conservare la cronologia di navigazione per troppo tempo può consumare molta memoria sul tuo dispositivo e mettere le tue informazioni personali a rischio.”