Avast ha ordinato di interrompere la vendita dei dati di navigazione delle sue app per la privacy di navigazione

Avast, un nome noto per le sue ricerche sulla sicurezza e le app antivirus, offre da tempo estensioni Chrome, app mobili e altri strumenti volti ad aumentare la privacy.

Le app di Avast “bloccherebbero i fastidiosi cookie di tracciamento che raccolgono dati sulle tue attività di navigazione” e impedirebbero ai servizi web di “tracciare la tua attività online”. Nel profondo della sua politica sulla privacy, Avast ha affermato che le informazioni raccolte sarebbero “anonime e aggregate”. Nella sua retorica più feroce, il software desktop di Avast affermava che avrebbe impedito agli “hacker di guadagnare denaro dalle tue ricerche”.

Tutto quel linguaggio è stato offerto mentre Avast raccoglieva le informazioni sui browser degli utenti dal 2014 al 2020, per poi venderle a più di 100 altre società attraverso un’entità chiusa nota come Jumpshot , secondo la Federal Trade Commission. In base a una recente proposta di ordine della FTC (PDF), Avast deve pagare 16,5 milioni di dollari, che “si prevede verranno utilizzati per fornire risarcimento ai consumatori”, secondo la FTC . Ad Avast sarà inoltre vietato vendere futuri dati di navigazione, dovrà ottenere il consenso esplicito sulla futura raccolta di dati, informare i clienti sulle precedenti vendite di dati e implementare un “programma completo sulla privacy” per affrontare la condotta precedente.

Raggiunto per un commento, Avast ha rilasciato una dichiarazione in cui sottolineava la chiusura di Jumpshot da parte dell’azienda all’inizio del 2020. “Siamo impegnati nella nostra missione di proteggere e potenziare la vita digitale delle persone. Anche se non siamo d’accordo con le accuse della FTC e con la descrizione dei fatti, siamo lieti di risolvere la questione e non vediamo l’ora di continuare a servire i nostri milioni di clienti in tutto il mondo”, si legge nella dichiarazione.

I dati erano tutt’altro che anonimi

Il reclamo della FTC (PDF) rileva che dopo che Avast ha acquisito l’allora concorrente di antivirus Jumpshot all’inizio del 2014, ha rinominato la società come venditore di analisi. Jumpshot pubblicizzava di offrire “intuizioni uniche” sulle abitudini di “[m]più di 100 milioni di consumatori online in tutto il mondo”. Ciò includeva la possibilità di “[vedere] dove sta andando il tuo pubblico prima e dopo aver visitato il tuo sito o il tuo sito.” siti della concorrenza e persino monitorare coloro che visitano un URL specifico.”

Sebbene Avast e Jumpshot abbiano affermato che dai dati erano state rimosse informazioni identificative, la FTC sostiene che ciò “non era sufficiente”. Le offerte di Jumpshot includevano un identificatore univoco del dispositivo per ciascun browser, incluso in dati come “Feed di tutti i clic”, “Feed di clic di Search Plus” “,”Feed delle transazioni”e altro ancora. La denuncia della FTC descriveva dettagliatamente il modo in cui varie aziende avrebbero acquistato questi feed, spesso con il preciso scopo di associarli ai dati dell’azienda, fino a livello di singolo utente. Alcuni contratti Jumpshot tentavano di vietare la reidentificazione degli utenti Avast, ma “tali divieti erano limitati”, si legge nella denuncia.

La connessione tra Avast e Jumpshot è diventata ampiamente nota nel gennaio 2020, dopo che un rapporto di Vice e PC Magazine ha rivelato che clienti, tra cui Home Depot, Google, Microsoft, Pepsi e McKinsey, stavano acquistando dati da Jumpshot, come visto nei contratti riservati. I dati ottenuti dalle pubblicazioni hanno mostrato che gli acquirenti potevano acquistare dati tra cui ricerche su Google Maps, singole pagine LinkedIn e YouTube, siti porno e altro ancora. “Sono molto granulari e sono ottimi dati per queste aziende, perché arrivano fino al livello del dispositivo con un timestamp”, ha detto una fonte a Vice.

La denuncia della FTC fornisce maggiori dettagli su come Avast, sui propri forum web, abbia cercato di minimizzare la propria presenza su Jumpshot. Avast ha suggerito sia che a Jumpshot fossero forniti solo dati non aggregati sia che gli utenti fossero informati durante l’installazione del prodotto sulla raccolta dei dati per “comprendere meglio le tendenze nuove e interessanti”. Nessuna di queste affermazioni si è rivelata vera, suggerisce la FTC. E i dati raccolti erano tutt’altro che innocui, data la loro natura reidentificabile:

Ad esempio, un campione di appena 100 voci su trilioni conservati dagli intervistati
ha mostrato visite da parte dei consumatori alle seguenti pagine: un articolo accademico su uno studio sui sintomi
del cancro al seno; Annuncio della candidatura presidenziale della senatrice Elizabeth Warren; un corso CLE
sulle esenzioni fiscali; lavori governativi a Fort Meade, nel Maryland, con uno stipendio superiore a
$ 100.000; un collegamento (poi interrotto) al punto centrale di una richiesta FAFSA (aiuto finanziario);
indicazioni stradali su Google Maps da una località all’altra; un video YouTube per bambini in lingua spagnola
; un collegamento a un sito di incontri francese, incluso un ID membro univoco; e cosplay
erotici.

In un post sul blog che accompagna l’annuncio , il procuratore senior della FTC Lesley Fair scrive che, oltre alla duplice natura dei prodotti per la privacy di Avast e al monitoraggio approfondito di Jumpshot, la FTC considera sempre più i dati di navigazione come “informazioni altamente sensibili che richiedono la massima cura”. “I dati sui siti web visitati da una persona non sono solo un altro bene aziendale aperto allo sfruttamento commerciale senza restrizioni”, scrive Fair.

I commissari della FTC hanno votato 3-0 per presentare il reclamo e accettare l’accordo di consenso proposto. La presidente Lina Khan, insieme ai commissari Rebecca Slaughter e Alvaro Bedoya, hanno rilasciato una dichiarazione sul loro voto.

Dal momento della denuncia della FTC e della sua attività Jumpshot, Avast è stata acquisita da Gen Digital , un’azienda che contiene Norton, Avast, LifeLock, Avira, AVG, CCLeaner e ReputationDefender, tra le altre aziende di sicurezza.

Divulgazione: Condé Nast, la società madre di Ars Technica, ha ricevuto dati da Jumpshot prima della sua chiusura.