Avast cede a terze parti le informazioni dei suoi utenti

Attività online vendute. La possiamo riassumere così. E c’è dell’imbarazzo in questa vicenda in cui la società Avast, nota a livello globale per le soluzioni offerte per la sicurezza di computer e dispositivi mobile (oltre 435 milioni di fruitori attivi in tutto il mondo), è presa di mira per aver concesso ad una sua sussidiaria denominata Jumpshot, la possibilità di fornire a terze parti le informazioni sugli utenti proprio in merito alle loro attività online.

Questo quanto svelato dal risultato di un’indagine condotta da Motherboard e PCMag. Il frutto di una loro attività congiunta ha svelato come l’antivirus, così come gli altri software distribuiti dall’azienda, si occupava della raccolta dei dati relativi ai propri clienti per poi passarli a Jumpshot pronta a  confezionarli all’interno di appositi pacchetti offerti successivamente a potenziali clienti per finalità di profilazione, marketing e advertising.

Attività online vendute, che dati venivano raccolti?

Tra i dati raccolti e venduti la cronologia dei siti visitati, acquisti effettuati online, ma anche elementi come i singoli click, le ricerche su Google, informazioni sulla localizzazione, le coordinate GPS cercate su Google Maps, pagine LinkedIn, i video visti su YouTube. Anche i siti con contenuti per adulti erano monitorati, inclusi i termini ricercati su tali siti e i video visti. Non venivano inviati dettagli relativi a nome e cognome ma, sfruttando la cronologia e altri dati raccolti, era in molti casi facile risalire all’identità degli utenti ai quali facevano riferimento i dati. Insomma chi più ne ha più ne metta.

E udite udite tra i probabili clienti. Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Expedia, TripAdvisor, IBM, vidIQ, TurboTax, Loreal e Intuit.

In realtà tutti i dati sono collezionati anonimamente. Non sono cioè associabili in modo diretto a un utente. Quindi l’attività societaria di Jumpshot era di fatto quella di “misuratrice di attività” degli utenti in internet per servizi e piattaforme come ad esempio Netflix, Amazon e Google. Il problema è che la raccolta di dati non avveniva attraverso un software specifico o un servizio che ne dà nota, ma attraverso appunto il programma antivirus di Avast.

Avast si difende

Per correttezza di informazione i portali Motherboard e PCMag hanno contattato alcune delle società che hanno acquistato i pacchetti da Jumpshot. Microsoft non ha commentato ma da detto che non ha rapporti correnti con Jumpshot. Yelp ha risposto che si è servita dei dati Jumpshot per stimare l’impatto del comportamento anti concorrenziale di Google. La stessa Google, cliente di Jumphost, non ha offerto alcun commento.

Infine è stata poi contattata Avast la quale è stata molto sfuggente nelle risposte, dichiarando: “Grazie al nostro approccio, ci assicuriamo che Jumpshot non acquisisca informazioni di identificazione personale, compresi nome, indirizzo e-mail o dettagli di contatto, da persone che utilizzano il nostro popolare software antivirus gratuito. Gli utenti hanno sempre avuto la possibilità di scegliere di non condividere i dati con Jumpshot. A partire da luglio 2019, abbiamo già iniziato a implementare una scelta esplicita di opt-in per tutti i nuovi download del nostro AV, e ora stiamo anche spingendo i nostri attuali utenti gratuiti a fare una scelta esplicita, un processo che sarà completato nel febbraio 2020″. In buona sostanza sempre colpa di questi “sprovveduti” utenti.