Il tuo antivirus dovrebbe proteggerti, ma cosa succede se sta consegnando la cronologia del tuo browser a un’importante società di marketing?
Rilassati. Questo è ciò che Avast ha detto al pubblico dopo che le sue estensioni del browser sono state trovate raccogliendo i dati degli utenti da fornire ai marketer. Il mese scorso, la società antivirus ha cercato di giustificare la pratica sostenendo che le storie web raccolte sono state spogliate dei dati personali degli utenti prima di essere consegnate.,
“I dati sono completamente de-identificati e aggregati e non possono essere utilizzati per identificare o indirizzare personalmente l’utente”, ha detto Avast agli utenti, che hanno acconsentito alla condivisione dei dati. In cambio, la tua privacy viene preservata, Avast viene pagato e i marketer online ottengono un tesoro di dati dei consumatori “aggregati” per aiutarli a vendere più prodotti.
C’è solo un problema: quello che dovrebbe essere un pezzo gigante di dati anonimi della cronologia Web può effettivamente essere selezionato e collegato ai singoli utenti Avast, secondo un’indagine congiunta di PCMag e Motherboard.,
Come la “de-identificazione” può fallire
La divisione Avast incaricata di vendere i dati è Jumpshot, una filiale della società che offre accesso al traffico degli utenti da 100 milioni di dispositivi, inclusi PC e telefoni. In cambio, i clienti-dai grandi marchi ai fornitori di e—commerce-possono imparare cosa acquistano i consumatori e dove, sia che si tratti di una ricerca su Google o Amazon, di un annuncio da un articolo di notizie o di un post su Instagram.,
I dati raccolti sono così granulari che i client possono visualizzare i singoli clic che gli utenti stanno facendo sulle loro sessioni di navigazione, incluso il tempo fino al millisecondo. E mentre i dati raccolti non vengono mai collegati al nome, all’email o all’indirizzo IP di una persona, ogni cronologia utente viene comunque assegnata a un identificatore chiamato ID dispositivo, che verrà mantenuto a meno che l’utente non disinstalli il prodotto antivirus Avast.
Ad esempio, un singolo clic può teoricamente assomigliare a questo:
A prima vista, il clic sembra innocuo. Non puoi collegarlo a un utente esatto., Cioè, a meno che tu non sia Amazon.com, che potrebbe facilmente capire quale utente di Amazon ha comprato un iPad Pro a 12: 03: 05 su Dic. 1, 2019. Improvvisamente, ID dispositivo: 123abcx è un utente noto. E qualsiasi altra cosa Jumpshot abbia sull’attività di 123abcx – da altri acquisti di e-commerce a ricerche su Google-non è più anonima.
PCMag e Motherboard hanno appreso i dettagli relativi alla raccolta dei dati da una fonte familiare con i prodotti Jumpshot., E gli esperti di privacy con cui abbiamo parlato hanno concordato che le informazioni sul timestamp, gli ID dei dispositivi persistenti, insieme agli URL raccolti potrebbero essere analizzati per esporre l’identità di qualcuno.
“La maggior parte delle minacce poste dalla de-anonimizzazione—in cui si identificano le persone—deriva dalla capacità di unire le informazioni con altri dati”, ha detto Gunes Acar, un ricercatore sulla privacy che studia il monitoraggio online.
Egli sottolinea che le principali aziende come Amazon, Google, e rivenditori di marca e le imprese di marketing possono accumulare interi registri di attività sui loro utenti., Con i dati di Jumpshot, le aziende hanno un altro modo per tracciare le impronte digitali degli utenti su Internet.
Cerchi offerte sulle ultime tecnologie?
Questa newsletter può contenere pubblicità, offerte o link di affiliazione. L’iscrizione a una newsletter indica il tuo consenso alle nostre Condizioni d’uso e alla nostra Informativa sulla privacy. È possibile annullare l’iscrizione in qualsiasi momento.
“Forse i dati (Jumpshot) non identificano le persone”, ha detto Acar. “Forse è solo un elenco di ID utente con HASH e alcuni URL., Ma può sempre essere combinato con altri dati provenienti da altri marketing, altri inserzionisti, che possono sostanzialmente arrivare alla vera identità.”
Il ‘All Click Feed’
Secondo i documenti interni, Jumpshot offre una varietà di prodotti che servono i dati del browser raccolti in modi diversi. Ad esempio, un prodotto si concentra sulle ricerche che le persone stanno facendo, comprese le parole chiave utilizzate e i risultati che sono stati cliccati.
Abbiamo visualizzato un’istantanea dei dati raccolti e abbiamo visto i log con query su argomenti banali e quotidiani., Ma c ” erano anche ricerche sensibili per porno—tra cui minorenni sesso—informazioni nessuno vorrebbe legato a loro.
Altri prodotti Jumpshot sono progettati per tenere traccia dei video che gli utenti stanno guardando su YouTube, Facebook e Instagram. Un altro ruota attorno all’analisi di un dominio di e-commerce selezionato per aiutare i marketer a capire come gli utenti lo stanno raggiungendo.
Ma per quanto riguarda un particolare client, Jumpshot sembra aver offerto l’accesso a tutto., A dicembre 2018, Omnicom Media Group, uno dei principali fornitori di marketing, ha firmato un contratto per ricevere il cosiddetto “Feed di tutti i clic”, ovvero ogni click Jumpshot raccolto dagli utenti Avast. Normalmente, il feed di tutti i clic viene venduto senza ID dispositivo “per proteggersi dalla triangolazione delle informazioni personali (informazioni di identificazione personale)”, afferma il manuale del prodotto di Jumpshot. Ma quando si tratta di Omnicom, Jumpshot sta consegnando il prodotto con ID dispositivo collegato a ogni clic, secondo il contratto.,
Inoltre, il contratto richiede che Jumpshot fornisca la stringa URL a ciascun sito visitato, l’URL di riferimento, i timestamp fino al millisecondo, insieme alla sospetta età e sesso dell’utente, che può dedurre in base a quali siti la persona sta visitando.
Non è chiaro il motivo per cui Omnicom vuole i dati. La società non ha risposto alle nostre domande. Ma il contratto solleva la prospettiva inquietante Omnicom può svelare i dati di Jumpshot per identificare i singoli utenti.,
Sebbene Omnicom non possieda una piattaforma Internet importante, i dati Jumpshot vengono inviati a una controllata chiamata Annalect, che offre soluzioni tecnologiche per aiutare le aziende a fondere le proprie informazioni sui clienti con dati di terze parti. Il contratto triennale è entrato in vigore a gennaio 2019 e consente a Omnicom di accedere ai dati del flusso di clic giornaliero su 14 mercati, tra cui Stati Uniti, India e Regno Unito. In cambio, Jumpshot viene pagato million 6,5 milioni.
Chi altro potrebbe avere accesso ai dati di Jumpshot rimane poco chiaro., Il sito Web della società dice che ha funzionato con altri marchi, tra cui IBM, Microsoft e Google. Tuttavia, Microsoft ha detto che non ha alcuna relazione corrente con Jumpshot. IBM, d’altra parte, non ha “alcun record” di essere un cliente di Avast o Jumpshot. Google non ha risposto a una richiesta di commento.
Altri clienti menzionati nel marketing di Jumpshot coprono le società di prodotti di consumo Unilever, Nestle Purina e Kimberly-Clark, oltre al fornitore TurboTax Intuit., Anche nominato sono ricerche di mercato e società di consulenza McKinsey & Società e GfK, che ha rifiutato di commentare la sua partnership con Jumpshot. I tentativi di confermare altre relazioni con i clienti sono stati in gran parte soddisfatti senza risposte. Ma i documenti che abbiamo ottenuto mostrano i dati Jumpshot forse andando a società di venture capital.
‘È quasi impossibile de-identificare i dati’
Wladimir Palant è il ricercatore di sicurezza che inizialmente ha scatenato il controllo pubblico del mese scorso delle politiche di raccolta dei dati di Avast., Nel mese di ottobre, ha notato qualcosa di strano con le estensioni del browser della società antivirus: stavano registrando ogni sito web visitato insieme a un ID utente e inviando le informazioni ad Avast.
I risultati lo hanno spinto a chiamare le estensioni come spyware. In risposta, Google e Mozilla li hanno temporaneamente rimossi fino a quando Avast non ha implementato nuove protezioni sulla privacy. Tuttavia, Palant ha cercato di capire cosa significa Avast quando dice che “de-identifica” e “aggrega” le cronologie dei browser degli utenti quando la società antivirus si è astenuta dal rivelare pubblicamente l’esatto processo tecnico.,
“L’aggregazione normalmente significherebbe che i dati di più utenti sono combinati. Se i clienti Jumpshot possono ancora vedere i dati dei singoli utenti, è davvero brutto”, ha detto Palant in un’intervista via email.
One safeguard Jumpshot utilizza per impedire ai clienti di individuare le reali identità degli utenti Avast è un processo brevettato progettato per eliminare le informazioni PII, come nomi e indirizzi e-mail, di apparire negli URL raccolti. Ma anche con lo stripping PII, Palant afferma che la raccolta dei dati sta ancora esponendo inutilmente gli utenti Avast ai rischi per la privacy.,
” È difficile immaginare che qualsiasi algoritmo di anonimizzazione sarà in grado di rimuovere tutti i dati rilevanti. Ci sono semplicemente troppi siti web là fuori, e ognuno di loro fa qualcosa di diverso,” ha detto. Ad esempio, Palant sottolinea come visitare i link URL raccolti per un utente potrebbe rivelare costantemente quali tweet o video la persona ha commentato, e quindi esporre la vera identità dell’utente.,
“E’ quasi impossibile de-identificare i dati,” ha detto Eric Goldman, co-direttore del High Tech Law Institute presso la Santa Clara University, che ha anche preso problema con una società di antivirus monetizzare i dati degli utenti. “Sembra proprio una pratica commerciale terribile. Dovrebbero proteggere i consumatori dalle minacce, piuttosto che esporli alle minacce.”
‘Mente condividere alcuni dati con noi?’
Abbiamo chiesto ad Avast più di una dozzina di domande riguardanti l’entità dei dati raccolti, con chi vengono condivisi, insieme alle informazioni sul contratto Omnicom., Ha rifiutato di rispondere alla maggior parte delle nostre domande o fornire un contatto per Jumpshot, che non ha risposto alle nostre chiamate o e-mail. Tuttavia, Avast ha detto che ha smesso di raccogliere i dati degli utenti per scopi di marketing tramite le estensioni del browser Avast e AVG.
“Abbiamo completamente interrotto la pratica di utilizzare i dati dalle estensioni del browser per qualsiasi altro scopo rispetto al motore di sicurezza di base, compresa la condivisione con Jumpshot”, ha detto la società in una nota.,
Tuttavia, la divisione Jumpshot di Avast può ancora raccogliere le cronologie del browser attraverso le principali applicazioni antivirus di Avast su desktop e dispositivi mobili. Questo include AVG antivirus, che Avast possiede anche. La raccolta dei dati avviene attraverso il componente Web Shield del software, che esegue anche la scansione degli URL sul browser per rilevare siti Web dannosi o fraudolenti.
Per questo motivo, PCMag non può più raccomandare Avast Free Antivirus come scelta degli editori nella categoria di protezione antivirus gratuita.
Se l’azienda ha davvero bisogno dei tuoi URL per proteggerti è in discussione., Avast afferma che prendere direttamente le informazioni e consentire ai server cloud di Avast di scansionarle immediatamente fornisce agli utenti ” ulteriori livelli di sicurezza.”Ma lo stesso approccio ha i suoi rischi, secondo il ricercatore sulla privacy Gunes Acar, che ha detto che il modo più sicuro per elaborare gli URL visitati è quello di non raccoglierli mai. L’API di navigazione sicura di Google, ad esempio, invia una lista nera aggiornata di siti Web danneggiati al browser della tua macchina, in modo che gli URL possano essere controllati sulla tua macchina piuttosto che sul cloud.
“Può essere fatto in un modo più privato”, ha detto Acar. “Avast dovrebbe assolutamente adottarlo., Ma sembra che siano nel business di fare soldi dagli URL.”
Il rovescio della medaglia, Avast offre un prodotto antivirus gratuito. La società sottolinea inoltre che la raccolta della cronologia del browser è facoltativa. È possibile spegnerlo su Installa o all’interno del pannello delle impostazioni.
” Gli utenti hanno sempre avuto la possibilità di scegliere di condividere i dati con Jumpshot., A partire da luglio 2019, avevamo già iniziato a implementare una scelta esplicita di opt-in per tutti i nuovi download del nostro AV (antivirus), e ora stiamo anche spingendo i nostri utenti gratuiti esistenti a fare una scelta esplicita, un processo che sarà completato a febbraio 2020″, ha detto la società.
Infatti, quando si installa l’Avast o AVG antivirus su un PC Windows, il prodotto vi mostrerà un pop-up che chiede: “Mente condividere alcuni dati con noi?”Il pop-up procederà quindi a dirti che i dati raccolti saranno de-identificati e aggregati come un modo per proteggere la tua privacy.,
Tuttavia, non viene fatta alcuna menzione su come gli stessi dati possono essere combinati con altre informazioni per collegare la tua identità alla cronologia del browser raccolta. Né il pop-up menziona come Jumpshot può mantenere l’accesso ai dati per tre anni. Per questo dettaglio, dovrai guardare la stampa fine nell’informativa sulla privacy di Avast.
Di conseguenza, gli utenti che vedono il pop-up possono assumere i loro dati saranno protetti, e opt-in quando in realtà, le politiche sulla privacy intorno prodotti tecnologici sono spesso volutamente vaghe e semplificate. “Vuoi che il consumatore acquisti o utilizzi il tuo prodotto., Ma non vuoi spaventarli”, ha detto Kim Phan, partner dello studio legale Ballard Spahr, che lavora nel gruppo privacy e sicurezza dei dati.
Il compromesso è che le politiche possono diventare opache. “È più difficile capire cosa stai facendo”, ha aggiunto. “Le persone non saranno in grado di capire i dettagli, o penseranno che stai cercando di nascondere qualcosa.”
Nel caso di Avast, la controversia sulle pratiche di raccolta dei dati in gran parte sconosciute ha indotto un controllo sufficiente che il senatore statunitense Ron Wyden ha deciso di indagare., “Gli americani si aspettano che il software di sicurezza informatica e privacy protegga i loro dati, non li venda ai marketer”, ha twittato all’epoca.
In una dichiarazione, Wyden ha detto che è stato incoraggiato che Avast sta terminando la raccolta dei dati attraverso le estensioni del browser della società. “Tuttavia, sono preoccupato che Avast non si sia ancora impegnata a eliminare i dati degli utenti raccolti e condivisi senza il consenso opt-in dei suoi utenti, o per porre fine alla vendita di dati di navigazione Internet sensibili”, ha aggiunto., “L’unica linea di condotta responsabile è quella di essere completamente trasparente con i clienti che vanno avanti e di eliminare i dati raccolti in condizioni sospette in passato.”
AGGIORNAMENTO 1/30: Dopo che l’indagine congiunta PCMag-Motherboard ha fatto ondate, incluso il Sen. Mark Warner che castigava la FTC per aver lasciato cadere la palla sulla supervisione, Avast ha annunciato che avrebbe chiuso le operazioni a Jumpshot. “Come CEO di Avast, mi sento personalmente responsabile e vorrei scusarmi con tutti gli interessati”, ha detto Ondrej Vlcek in una dichiarazione.
