Hai usato l’antivirus Avast? Raccoglieva i tuoi dati per venderli alle aziende
Il noto antivirus installato su centinaia di milioni di computer conteneva un sistema di raccolta dei dati che venivano passati a un’azienda sussidiaria per essere venduti ad aziende che li acquistavano a blocchi. L’operazione era documentata ma per gli utenti comuni era difficile comprenderne la portata.
by Lorenzo LonghitanoIn molti utenti in tutto il mondo proteggono i loro dispositivi elettronici utilizzando l'antivirus gratuito Avast, senza troppi pensieri se non quello di liberarsi delle occasionali notifiche che accompagnano l'attività del software. In questi giorni però Motherboard e PCMag hanno puntato i fari su una pratica poco trasparente da parte dell'antivirus: la raccolta di dati sui suoi utenti da vendere poi in grande quantità alle aziende interessate.
La vendita dei dati era delegata a un'azienda sussidiaria chiamata Jumpshot, ma la raccolta avveniva attraverso Avast. L'antivirus faceva cioè da sentinella di tutto ciò che avveniva sui dispositivi, selezionando poi il materiale utile a essere rivenduto a scopi pubblicitari per passarlo a Jumpshot, che ne ha fatto per anni il suo prodotto di punta. Stando a materiale che la stessa Jumpshot ha utilizzato a scopo promozionale, il sistema era in grado di intercettare la maggior parte di ciò che gli utenti dell'antivirus facevano online, e per la precisione "ogni ricerca, ogni click e ogni acquisto, su ogni sito".
Il materiale raccolto — ha tenuto a precisare Avast — in realtà veniva anonimizzato prima della vendita alle aziende: i pacchetti di dati venduti da Jumpshot con la lista dei siti visitati, degli acquisti fatti e delle ricerche online non era cioè legata a nomi e cognomi, né ad indirizzi email o altre informazioni utili a risalire all'identità dell'utente. Purtroppo però tra le aziende che hanno usufruito dei servizi di Jumpshot ci sono stati dei veri e propri colossi mondiali — tra i quali Google, Microsoft, Nestlé e molti altri. Questi gruppi potevano tranquillamente utilizzare i dati di accesso ai loro server da parte dei propri clienti già profilati per metterli a confronto con quelli forniti da Jumpshot: una visita al loro sito nello stesso minuto risultante da entrambe le banche dati ad esempio sarebbe stata sufficiente a legare per sempre le informazioni comprate a quelle dei profili già in proprio possesso.
Avast aveva in realtà già parlato della novità nel 2015 con un intervento sul proprio blog, e nell'antivirus esisteva una opzione per controllare questo comportamento, ma il sistema era addentrato all'interno di impostazioni per la privacy che la netta maggioranza degli utenti non avrebbero saputo come trovare, né come interpretare. Dalla vicenda è nato uno scandalo che a giorni di distanza sta ancora sortendo i propri effetti: il gruppo ha subito un brusco declino in borsa che a sua volta ha portato in queste ore alla chiusura di Jumpshot. Il numero uno di Avast ha ammesso di essere arrivato alla conclusione che "la vendita dei dati degli utenti non è in linea con le priorità dell'azienda in fatto di privacy, né per quest'anno né per il futuro".