Avast
Imagem: Hunter French.

Documentos vazados expõem o mercado secreto para seus dados de navegação

Uma subsidiária do antivírus Avast vende 'Cada busca. Cada clique. Cada compra. Em todo site'. Os clientes dela incluem Home Depot, Google, Microsoft, Pepsi e McKinsey.
Traduzido por Marina Schnoor
29 Janeiro 2020, 10:00am

Um programa de antivírus usado por milhões de pessoas no mundo todo está vendendo informações de navegação na internet altamente sensíveis para algumas das maiores companhias do mundo, uma investigação conjunta da Motherboard e PCMag descobriu. Nosso relatório se baseia em dados de usuários, contratos e outros documentos vazados da companhia, que mostram como a venda desses dados é preocupante e em muitos casos deveria ser mantida confidencial entre a empresa vendendo os dados e os clientes que os compram.

Os documentos, de uma subsidiária da gigante do antivírus Avast chamada Jumpshot, iluminam a venda secreta e cadeia de fornecimento dos históricos de internet das pessoas. Eles mostram que o programa de antivírus da Avast instalado no computador das pessoas coleta dados, e que a Jumpshot repagina esses dados em vários produtos que vende para muitas das maiores companhias do mundo. Alguns clientes do passado, presente e em potencial incluem Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit e muitos outros. Alguns clientes pagam milhões de dólares por produtos que incluem um chamado “All Clicks Feed”, que pode rastrear o comportamento, cliques e movimento dos usuários em sites com detalhes altamente precisos.

A Avast diz que tem mais de 435 milhões de usuários ativos por mês, e a Jumpshot diz ter dados de mais de 100 milhões de aparelhos. A Avast coleta dados dos usuários que aceitam os termos de serviço e depois os fornece para a Jumpshot, mas vários usuários de Avast disseram a Motherboard que não sabiam que a Avast vendia dados de navegação, levantando questões sobre quão informado é esse consentimento.

Os dados obtidos pela Motherboard e PCMag incluem buscas no Google, procuras de localização e coordenadas de GPS no Google Maps, as visitas a páginas de empresas no LinkedIn, vídeos particulares no YouTube e visitas a sites de pornô. É possível determinar pelos dados coletados a data e horário de visitas de usuários anonimizados no YouPorn e Pornhub, e em alguns casos que termo a pessoa buscou no site pornô e que vídeo ela assistiu.

Você conhece outras companhias vendendo dados? Usando um telefone ou um computador que não seja do trabalho, contate Joseph Cox com segurança pelo Signal em +44 20 8133 5190, Wickr em josephcox, chat OTR em jfcox@jabber.ccc.de, ou pelo e-mail joseph.cox@vice.com .

Apesar dos dados não incluírem informações pessoais como nomes dos usuários, eles contêm uma variedade de dados de navegação específicos, e especialistas dizem que é possível expor certos usuários.

Num press release de julho, a Jumpshot afirma ser a “única companhia que desbloqueia jardins murados” e busca “fornecer para profissionais de uma visão profunda de toda a jornada online de clientes”. A Jumpshot já discutiu sobre alguns de seus clientes publicamente. Mas outras companhias mencionadas nos documentos da Jumpshot incluem Expedia, IBM, Intuit, que possui o TurboTax, Loreal e Home Depot. Funcionários são instruídos a não falar em público sobre os relacionamentos da Jumpshot com essas companhias.

“É algo muito granular e são dados ótimos para essas companhias, porque vai até o nível de aparelho com data”, a fonte disse, se referindo a especificidade e importância dos dados vendidos. A Motherboard garantiu anonimato para a fonte falar sinceramente sobre os processos da Jumpshot.

Até recentemente, a Avast estava coletando os dados de navegação de clientes que instalavam o plugin de navegador da companhia, usado para alertar os usuários de sites suspeitos. O pesquisador de segurança e criador do AdBlock Plus Wladimir Palant publicou um post num blog em outubro mostrando como a Avast colhia dados de usuário com aquele plugin. Logo depois, os criadores de navegador Mozilla, Opera e Google removeram as extensões da Avast e sua subsidiária AVG de suas lojas de extensões de navegador. A Avast explicou antes essa coleta e compartilhamento de dados num blog e fórum em 2015. A Avast desde então parou de mandar dados de navegação coletados por essas extensões para a Jumpshot, a Avast disse numa declaração para a Motherboard e PCMag.

Um infográfico mostrando a cadeia de fornecimento de dados de navegação da Avast até os clientes da Jumpshot. Imagem: Motherboard

Mas a coleta de dados continua, como indicaram a fonte e os documentos. Em vez de colher informação através do software ligado ao navegador, a Avast está fazendo isso através de seu próprio software antivírus. Semana passada, meses depois que foi exposta usando as extensões de navegador para mandar dados para a Jumpshot, a Avast começou a pedir para que consumidores de seu antivírus grátis aceitem a coleta de dados, segundo um documento interno.

“Se a pessoa concorda, o aparelho se torna parte do Painel Jumpshot e toda atividade baseada em navegador será reportada para a Jumpshot”, diz um manual de produtos interno. “Que URLs esse aparelho visitou, em que ordem e quando?”, ele acrescenta, resumindo que perguntas o produto pode responder.

O senador Ron Wyden, que em dezembro perguntou a Avast por que ela estava vendendo os dados dos usuários, disse numa declaração: “É encorajador que a Avast acabou com algumas de suas práticas mais problemáticas depois se envolver construtivamente com meu gabinete. Mas me preocupo que a Avast ainda não se comprometeu a deletar os dados de usuários que coletou e compartilhou sem consentimento de seus usuários, ou acabou com a venda de dados de navegação importantes. O único curso de ação responsável é ser totalmente transparente com seus clientes daqui para frente, e excluir dados que coletou sob condições suspeitas no passado”.

Apesar da Avast atualmente pedir para os usuários aceitarem a coleta de dados através de um pop-up no software antivírus, vários usuários de Avast disseram que não sabiam que a Avast estava vendendo seus dados de navegação.

“Eu não sabia disso”, disse Keith, um usuário do antivírus grátis Avast que só forneceu seu primeiro nome, a Motherboard. “Me parece assustador. Geralmente digo não para rastreamento de dados”, ele disse, acrescentando que ainda não viu o pop-up para aceitar a venda de dados no Avast.

“E não sabia que eles faziam isso :(”, disse outro usuário do antivírus grátis da Avast por mensagem direta no Twitter.

A Motherboard e PCMag contataram mais de uma dúzia de companhias mencionadas nos documentos internos. Apenas algumas responderam a perguntas sobre o que elas fazem com os dados de histórico de navegação dos usuários de Avast.

“Às vezes usamos informações de fornecedores para ajudar a melhorar nosso negócio, produtos e serviços. Exigimos que esses fornecedores tenham os direitos apropriados para compartilhar essa informação conosco. Nesse caso, recebemos dados anonimizados do público, que não podem ser usados para identificar clientes individuais”, um porta-voz da Home Depot escreveu numa declaração por e-mail.

A Microsoft não quis comentar por que comprava produtos da Jumpshot, mas disse que não tem uma relação com a companhia no momento. Um porta-voz do Yelp escreveu num e-mail: “Em 2018, como parte de uma solicitação de autoridades antitruste, a equipe de políticas do Yelp teve que estimar o impacto anticompetitivo do Google no mercado de busca local. A Jumpshot se envolveu uma vez para gerar relatório de dados anonimizados de tendências de alto nível, que validavam outras estimativas do Google do desvio de tráfico da internet. Nenhum PII foi solicitado ou acessado.”

“Todas busca. Todo clique. Toda compra. Em todo site.”

A Southwest Airlines disse que teve discussões com a Jumpshot mas não chegou a um acordo com a companhia. A IBM disse que não tem um registro de ter sido cliente deles, e a Altria disse que não está trabalhando com a Jumpshot, mas não especificou se trabalhou antes. A Sephora disse que não trabalha com a Jumpshot. O Google não respondeu nossos pedidos de comentário.

Em seu site e press releases, a Jumpshot dá nomes como Pepsi e as gigantes de consultoria Bain & Company e McKinsey como clientes.

Assim como Expedia, Intuit e Loreal, outras empresas foram mencionadas em público em anúncios da Jumpshot, como a empresa de café Keurig, o serviço de promoção de vídeos do YouTube vidIQ, e a empresa de consultoria de consumidor Hitwise. Nenhuma dessas companhias respondeu nossos pedidos de comentário.

Em seu site, a Jumpshot lista alguns estudos de caso anteriores como tendo usado seus dados de navegação. A revista e gigante da mídia digital Condé Nast, por exemplo, usou os produtos da Jumpshot para ver se os anúncios da companhia resultavam em mais compras na Amazon e outros lugares. A Condé Nast não respondeu nossos pedidos de comentário.

Todos os cliques

A Jumpshot vende uma variedade de produtos baseados em dados coletados pelo software de antivírus da Avast instalado nos computadores dos usuários. Clientes no setor financeiro institucional com frequência compram feeds dos 10 mil maiores domínios que os usuários da Avast estão visitando, para tentar detectar tendências, segundo o manual de produtos deles.

Outro produto da Jumpshot é chamado “All Click Feed”. Ele permite que um cliente compre informação de todos os cliques que a Jumpshot viu num domínio em particular, como a Amazon.com, Walmart.com, Target.com, BestBuy.com ou Ebay.com.

Num tuíte feito mês passado para atrair novos clientes, a Jumpshot disse que coleta “Cada pesquisa. Cada clique. Cada compra. Em todos os sites” [ênfase da Jumpshot].

Os dados da Jumpshot mostram como alguém com o antivírus Avast instalado em seu computador buscou por um produto no Google, clicou num link que dava pra Amazon, e como acrescentou o item em seu carrinho em diferentes sites, antes de finalmente comprar o produto, a fonte que deu os documentos explicou.

Uma empresa que comprou o All Clicks Feed é a firma de marketing de Nova York Omnicom Media Group, segundo uma cópia de seu contrato com a Jumpshot. Omnicom pagou a Jumpshot $2.075 milhões para acessar dados em 2019, segundo o contrato. Isso também incluía outro produto chamado “Insight Feed” para 20 domínios. A taxa para dados em 2020 e 2021 é listado em $2.225.000 e $2.275.000 respectivamente, acrescenta o documento.

Um trecho de um documento interno da Jumpshot obtido pela Motherboard e PCMag. A Motherboard reescreveu o documento em vez de fornecer uma captura de tela direta.

A Jumpshot deu a Omnicom acesso a todos os feeds de clique de 14 países, incluindo EUA, Inglaterra, Canadá, Austrália e Nova Zelândia. O produto também inclui o gênero deduzido dos usuários “com base em comportamento de navegação”, idade deduzida, e “sequência de URLs acessadas”, mas com informações pessoais identificáveis (PII em inglês) removidas, acrescenta o contrato.

A Omnicom não respondeu nossos pedidos de comentário.

Segundo o contrato da Omnicom, a “identidade do aparelho” de cada usuário vem censurada, significando que a companhia comprando os dados não deve conseguir identificar quem está por trás da atividade de navegação. Em vez disso, os produtos da Jumpshot devem dar insights para as companhias que podem querer ver que produtos são particularmente populares, ou quão eficiente é sua campanha publicitária.

“O que não fazemos é relatar a identidade de aparelho da Jumpshot que executa os cliques para proteger contra triangulação de PII”, diz um documento interno da empresa.

Mas os dados da Jumpshot podem não ser totalmente anônimos. Um manual interno de produtos diz que identidades de aparelho não mudam para cada usuário, “a menos que o usuário desinstale e reinstale o software de segurança”. Várias matérias e estudos acadêmicos mostraram como é possível expor pessoas usando dados supostamente anonimizados. Em 2006, repórteres do New York Time conseguiram identificar uma pessoa de um cache de busca supostamente anônima que o AOL tinha publicado. Apesar dos dados testados serem mais focados em links de redes sociais, que a Jumpshot censura de alguma maneira, um estudo de 2017 da Universidade de Stanford descobriu que é possível identificar pessoas a partir de dados de navegação anônimos.

“A desidentificação mostrou ser um processo muito suscetível a falhas. Tem muitos jeitos como isso pode dar errado”, disse Günes Acar, que estuda rastreamento de internet em larga escala para o grupo de pesquisa de Segurança de Computadores e Criptografia Industrial do Departamento de Engenharia Elétrica da Katholieke Universiteit Leuven.

Um trecho de um documento interno da Jumpshot obtido pela Motherboard e PCMag. A Motherboard reescreveu o documento em vez de fornecer uma captura de tela direta.

Desidentificação se torna uma grande preocupação quando consideramos como o usuário final eventual dos dados da Jumpshot pode combiná-los com seus próprios dados.

“A maioria das ameaças colocadas pelo desanonimato – onde você identifica pessoas – vêm da capacidade de combinar a informação com outros dados”, disse Acar. Um conjunto de dados da Jumpshot obtido pela Motherboard e PCMag mostrava cada URL visitada com a data precisa até milissegundos, o que pode permitir para uma companhia com seu próprio banco de dados de clientes ver um usuário visitando seu site, depois o seguir para outros sites com os dados da Jumpshot.

“É quase impossível desidentificar dados”, disse Eric Goldman, professor da Escola de Direito da Universidade Santa Clara. “Quando eles prometem desidentifica os dados, não acredito neles.”

A Motherboard e a PCMag fizeram uma série de perguntas detalhadas para a Avast sobre como ela protege o anonimato além dos detalhes em alguns dos contratos da companhia. A Avast não respondeu a maioria das perguntas, mas escreveu numa declaração: “Por causa da nossa abordagem, garantimos que a Jumpshot não adquiri informação de identificação pessoal, incluindo nome, e-mail ou detalhes de contato, para pessoas usando nosso popular software antivírus gratuito.

“Os usuários sempre podem não aceitar compartilhar os dados com a Jumpshot. Em julho de 2019, começamos a implementar uma opção para aceitar compartilhar os dados de maneira explícita para todos os novos downloads do nosso antivírus, e agora estamos incentivando nossos usuários do software gratuito a fazer uma escolha explícita, um processo que deve ser completado em fevereiro de 2020”, eles disseram, acrescentando que a empresa cumpre o California Consumer Privacy Act (CCPA) e a General Data Protection Regulation (GDPR) da Europa em sua base global de usuários.

“Temos um longo registro de proteger os aparelhos e dados de nossos usuários de malware, e entendemos e levamos a sério a responsabilidade de equilibrar privacidade de usuário com o uso necessário dos dados”, acrescenta a declaração.

“É quase impossível desidentificar dados.”

Quando a PCMag instalou o antivírus da Avast pela primeira vez este mês, o software realmente perguntou se aceitávamos a coleta de dados.

“Se você concorda, vamos fornecer à nossa subsidiária Jumpshot Inc. um conjunto de dados desidentificados derivados do seu histórico de navegação, para o propósito de permitir que a Jumpshot analise tendências de mercado e de negócios e junte outros insights valiosos”, diz a mensagem do software. O pop-up não dá detalhes de como a Jumphot usa os dados de navegação depois disso.

“Os dados são completamente desidentificados e agregados, e não podem ser usados para te identificar pessoalmente ou te tornar um alvo. A Jumpshot pode compartilhar insights agregados com seus clientes”, acrescenta o pop-up.

Alguns dias atrás, a conta no Twitter da subsidiária do Avast AVG tuitou: “Você lembra a última vez que limpou seu histórico de #navegação? Armazenar seu histórico por muito tempo ocupa memória do seu aparelho e pode colocar sua informação privada em risco”.

Matéria originalmente publicada na VICE EUA.

Siga a VICE Brasil no Facebook, Twitter, Instagram e YouTube.