Le versioni Mac e Windows di Avast, un noto software antivirus, sono state sfruttate per raccogliere una mole impressionante di dati all’insaputa degli utenti, con informazioni sensibili vendute ad aziende terze parti quali Google, Microsoft, Intuit e altri ancora.
Avast offre soluzioni antivirus gratuite e a pagamento; si tratta di strumenti che vantano oltre 430 milioni di utenti attivi al mese su Mac, PC e dispositivi mobile. L’azienda ha il quartier generale a Praga e, a quanto pare, una sua sussidiaria denominata Jumpshot avrebbe fornito a terze parti le informazioni sugli utenti in merito alle loro attività online.
Tra i dati raccolti e venduti la cronologia dei siti visitati, acquisti effettuati online, ma anche elementi come i singoli click, le ricerche su Google, informazioni sulla localizzazione, le coordinate GPS cercate su Google Maps, pagine LinkedIn, i video visti su YouTube. Anche i siti con contenuti per adulti erano monitorati, inclusi i termini ricercati su tali siti e i video visti. Non venivano inviati dettagli relativi a nome e cognome ma, sfruttando la cronologia e altri dati raccolti, era in molti casi facile risalire all’identità degli utenti ai quali facevano riferimento i dati.
In pratica l’antivirus raccoglieva i dati mentre Jumpshot si li confezionava in “pacchetti” offerti a vari clienti per finalità di profilazione, marketing e advertising. Tra i probabili acquirenti di questi dati sono citate aziende quali Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Expedia, TripAdvisor, IBM, vidIQ, TurboTax, Loreal e Intuit.
Dopo aver fermato la raccolta di dati mediante plugin per i browser (Mozilla aveva cancellato alcune estensioni specifiche) lo sviluppatore aveva cominciato a chiedere agli utenti dei suoi software antivirus la disponibilità a far parte del programma Jumpshot Panel, tramite meccanismi di opt-in. Molti utenti non si sono resi conto dei dati che potevano finire in mano a terze parti per finalità di profilazione o scopi pubblicitari.
Avast ha risposto alla redazioni di Motherboard (Vice) e PCMag, le due testate che hanno scoperto la vicenda, spiegando che «Gli utenti hanno sempre avuto la possibilità di interrompere la condivisione dei dati con Jumpshot». E ancora «Nel luglio 2019 abbiamo cominciato a implementare un’esplicita modalità di opt-in con tutti i nuovi download del nostro antivirus, mostrandola anche agli utenti già attivi, un processo che sarà completato entro il febbraio 2020».
«Abbiamo una lunga esperienza nel proteggere i dispositivi e le informazioni degli utenti contro i malware, consideriamo seriamente la responsabilità del dover bilanciare la tutela della privacy e l’utilizzo dei dati». A detta della software house le sue attività sono conformi con quanto previsto sia dal CCPA statunitense sia dal GDPR in Europa.
Tutti gli articoli di macitynet che parlano di sicurezza sono disponibili da questa pagina.
