AntivirusInformaticaMondo MicrosoftSicurezza

Una sussidiaria di Avast colleziona e vende i dati degli utenti

AGGIORNAMENTO: Il CEO di Avast ha annunciato la chiusura di Jumpshot

Brutte notizie per gli utenti di Avast e AVG. Una indagine congiunta svolta da Vice e PC Magazine ha infatti scoperto che Jumpshot, una società sussidiaria di Avast, vendeva (e vende) a terzi i dati degli utenti raccolti attraverso il monitoraggio degli stessi durante la normale navigazione.

Tutto è partito dalle estensioni per Chrome e Firefox

Tutto è partito lo scorso ottobre quando Wladimir Palant, un ricercatore specializzato in sicurezza informatica, si è accorto di alcune anomalie nelle estensioni di Avast e AVG (AVG è stata acquistata da Avast nel 2016) per i web browser.
Le estensioni raccoglievano tutti i dati relativi ai siti web visitati insieme ad un ID utente e inviavano tali informazioni ad Avast.

A seguito di questa scoperta Google, Mozilla e Opera avevano temporaneamente rimosso dai rispettivi store le suddette estensioni.

Vice e PC Magazine hanno approfondito

Vice e PC Magazine hanno deciso di approfondire la vicenda e hanno scoperto che Jumpshot, una delle società sussidiarie di Avast, riconfenzionava e vendeva tali dati.
Fra i dati raccolti, oltre alla normale navigazione web, ci sono anche le ricerche su Google, la cronologia dei video guardati su YouTube, Facebook e Instagram, le coordinate GPS su Google Maps e anche le visite e le ricerche effettuate sui sito porno.

Jumpshot vende tali dati a grandi aziende del calibro di Google, Microsoft, Pepsi etc. Stando alle dichiarazioni di Avast tali dati, prima di essere venduti, sono anonimizzati in modo tale da rimuovere le informazioni in grado di identificare gli utenti in modo univoco come, ad esempio l’indirizzo IP o gli indirizzi e-mail.

Tuttavia, come gli esperti del settore sanno, esistono diversi metodi per aggirare l’anononimato dei dati integrando altre fonti di dati per identificare gli utenti.

Un feed per spiarci tutti

Fra i clienti c’è anche Omnicom Media Group, un fornitore di marketing, che ha firmato con Jumpshot un particolare contratto per ricevere quello che viene chiamato All Clicks Feed. I dati venduti ad Omnicom Media Group comprendono anche gli ID dispositivo collegati a ciascun clic.

Inoltre, il contratto prevede che Jumpshot fornisca la stringa URL a ciascun sito visitato, l’URL di riferimento, i timestamp fino al millisecondo, insieme all’età e al genere sospetti dell’utente, che possono essere dedotti in base al sito della persona in visita.

Interpellata da Vice e PC Magazine la società non ha risposto alle domande sull’utilizzo di tali dati.

I dati di Jumpshot vengono inviati a una filiale di Omnicom Media Group chiamata Annalect, che offre soluzioni tecnologiche per aiutare le aziende a unire le informazioni dei propri clienti con dati di terze parti.

Marco Giannini

Quello del pacco / fondatore di Marco’s Box