Da qualche mese quando un cliente mi dice “sono protetto con un anti-virus free”, sottopongo regolarmente questa vignetta.
Utente: Oh no, il virus sta rubando i miei dati personali, Software Anti-Virus gratuito, AIUTAMI!
Software Antivirus Gratuito: Arrivo a soccorrerti!
Morale: Anche il software Anti-Virus ruba i dati personali dell’utente
Le reazioni solitamente (non sempre fortunatamente) sono “Sì, vabbé, sono solo chiacchiere”, ma come in tutte le cose, è solo questione di tempo ed i nodi vengono al pettine.
Qualcuno crede ad una voce autorevole, qualcuno invece fa lo struzzo mettendo la propria testa sotto terra per ignorare ciò che avviene intorno a lui.
Come abbiamo imparato più e più volte, la cose GRATIS su internet non sono quasi mai veramente gratuite. Se non state pagando con soldi, probabilmente lo state facendo con i vostri dati.

Questo è esattamente il caso in cui ricade AVAST FREE ANTIVIRUS che è stata BECCATA a raccogliere i dati degli ignari utilizzatori.
Avast Free Anti-Virus raccoglie infatti la lista dei siti che sono stati aperti per venderli ad aziende interessate a profilarci.Nonostante gli annunci che TUTTI I SUOI DATI SONO ANONIMIZZATI, è stato facilmente dimostrato come è semplice risalire a singoli utenti.Va anche detto che Avast, che offre prodotti antivirus sotto il nome AVG, è considerata una delle migliori soluzione nella lotta ai Malware, ma questo non scagiona il brand.

Quando un’azienda procedere con l’installazione della AV suite gratuita, viene chiesto di fare OPT-IN sulla data collection.
In molti lo fanno, assicurati dal fatto che i dati sono anonimizzati ed aggregati per proteggere la loro identità. In realtà Avast raccoglie dati molto più granulari rispetto a quanto ci si aspetti mettendo a rischio la privacy. I dati vengono raccolti e passati ad una sussidiaria di AVAST chiamata JUMPSHOT che ha relazioni commerciali con aziende come Google, Pepsi, Microsoft, Yelp ed Home Depot.

Alcune riviste del settore sono riuscite ad ottenere accesso a documenti interni ed esempi di dati rivenduti da Jumpshot ed hanno rilevato che Avast traccia i click degli utenti con precisione al millisecondo.
Ecco un esempio di dato raccolto e rivenduto:
Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 – 2017 Model – 256GB, Rose Gold Behavior: Add to Cart
Questo non dice nulla sulla persona che ha effettuato il click, a meno che non si abbia accesso ai dati di Amazon.
Con questi è possibile ricavare esattamente chi è il cliente che ha effettuati i click ed abbinare l’ID in modo univoco ad un NOME e COGNOME anche per tutte le altre registrazioni “anonime”
Da qui, tutti i dati “anonimi”, diventano correlati ad una persona ben identificata di cui si hanno a disposizione tutti i dati dell’utilizzo internet.
Nell’esempio si è parlato di AMAZON, ma questo abbinamento può essere fatto da una qualsiasi delle aziende a cui corrispondono i link raccolti.
I dati raccolti includono le ricerche su Google, le coordinate GPS rilevate da Google Maps, la visita di pagine su linkedin, la visione dei video su youtube ed i video visti su siti come Pornhub o YouPorn
Dapprima, Avast ha rimosso la funzione “tracciamento utente” (solamente) dall’estensione per Chrome mantenendola nella versione desktop.
Dopo qualche giorno è però scoppiata una bomba a livello mediatico mondiale ed il CEO di Avast è stato costretto a diramare (goffi) comunicati dove diceva:
– La colpa è di Jumpshot che ha attuato una frode e quindi non nostra;
– Le nostre azioni sono avvenute con conformità GDPR al 100%.
L’azione di polso per cercare di limitare i danni è stata quella di chiudere la sussidiaria Jumpshot.
Bruttissima figura per un’aziende che come CORE BUSINESS ha la protezione degli utenti, scivolone che sicuramente avrà gravi ripercussioni sul mercato della sicurezza informatica.