Avast, un popular antivirus gratuito, que es usado por cientos de millones de personas en el mundo, está vendiendo datos de navegación web altamente sensibles, según una investigación conjunta de Motherboard y PCMag.
Los documentos provenientes de una subsidiaria del gigante antivirus Avast llamado Jumpshot, arrojan nueva luz sobre la venta secreta y la cadena de suministro de los historiales de navegación de los usuarios. Muestran que el programa antivirus Avast instalado en la computadora de una persona recopila datos, y que Jumpshot los empaqueta en varios productos diferentes que luego se venden a muchas de las compañías más grandes del mundo. Algunos clientes pasados, presentes y potenciales incluyen Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit y muchos otros.
Los datos obtenidos por Motherboard y PCMag incluyen búsquedas en Google, búsquedas de ubicaciones y coordenadas GPS en Google Maps, personas que visitan las páginas de LinkedIn de las empresas, videos particulares de YouTube y personas que visitan sitios web porno. Es posible determinar a partir de los datos recopilados qué fecha y hora visitó YouPorn y PornHub el usuario anónimo, y en algunos casos qué término de búsqueda ingresaron al sitio porno y qué video vieron.
Aunque los datos no incluyen información personal como los nombres de los usuarios, sí contienen una gran cantidad de datos de navegación específicos, y los expertos dicen que podría ser posible identificar a ciertos usuarios.
Hasta hace poco, Avast estaba recopilando los datos de navegación de sus clientes que habían instalado el complemento de navegador de la compañía, que está diseñado para advertir a los usuarios de sitios web sospechosos, hasta que Mozilla, Opera y Google eliminaron las extensiones AVG de Avast de sus respectivas tiendas de extensiones de navegador. Desde entonces, Avast dejó de enviar datos de navegación recopilados por estas extensiones a Jumpshot.
Sin embargo, la recopilación de datos sigue, pero ahora Avast lo hace a través del antivirus. Avast ahora pide a sus usuarios que permitan la recopilación de datos, permitiendo que su actividad de Internet llegue a Jumpshot.
Motherboard y PCMag contactaron a más de dos docenas de compañías mencionadas en documentos internos como compradores de esta data.
“A veces utilizamos información de proveedores externos para ayudar a mejorar nuestro negocio, productos y servicios. Exigimos que estos proveedores tengan los derechos apropiados para compartir esta información con nosotros. En este caso, recibimos datos de audiencia anonimizados, que no pueden utilizarse para identificar clientes individuales “, escribió un portavoz de Home Depot en un correo electrónico.
Microsoft dijo que no tiene una relación actual con la compañía.
Altria dijo que no está trabajando con Jumpshot, aunque no especificó si lo hizo anteriormente. Google no respondió.
Además de Expedia, Intuit y Loreal, otras compañías que no se mencionan en los anuncios públicos de Jumpshot incluyen la compañía de café Keurig, el servicio de promoción de YouTube vidIQ y la firma de información al consumidor Hitwise. Ninguna de esas compañías respondió a una solicitud de comentarios.
Todos los clicks
Jumpshot vende una variedad de productos diferentes basados en la data recopilada. Los clientes en el sector de finanzas institucionales a menudo compran una fuente de los 10.000 principales dominios que los usuarios de Avast visitan para tratar de detectar tendencias, se lee en el manual del producto.
Otro producto de Jumpshot es el denominado “All Click Feed” de la compañía. Permite a un cliente comprar información sobre todos los clics que Jumpshot ha visto en un dominio particular, como Amazon.com o Ebay.com.
En un tweet enviado el mes pasado con la intención de atraer a nuevos clientes, Jumpshot señaló que recopila “Cada búsqueda. Cada clic. Cada compra. En cada sitio”.
Los datos de Jumpshot podrían mostrar cómo alguien con el antivirus Avast instalado buscó un producto en Google, hizo clic en un enlace que fue a Amazon y luego agregó un artículo a su carrito en un sitio web diferente, antes de finalmente comprar un producto.
Una empresa que compró All Clicks Feed es la firma de marketing Omnicom Media Group. Omnicom pagó a Jumpshot $ 2.075.000 por el acceso a los datos en 2019, según el contrato. También incluyó otro producto llamado “Insight Feed” para 20 dominios diferentes. La tarifa por los datos en 2020 y luego en 2021 figura en $ 2.225.000 y $ 2.275.000 respectivamente, agrega el documento.
Jumpshot le dio a Omnicom acceso a todos los feeds de clics de 14 países diferentes de todo el mundo. El producto también incluye el género inferido de los usuarios “en función del comportamiento de navegación”, su edad inferida y “toda la cadena de URL” pero con la Información de Identificación Personal (PII) eliminada.
Omnicom no respondió a múltiples solicitudes de comentarios.
De acuerdo con el contrato de Omnicom, el “ID del dispositivo” de cada usuario está codificado, lo que significa no se debería poder identificar quién está exactamente detrás de cada actividad de navegación.
Pero los datos de Jumpshot pueden no ser totalmente anónimos. El manual interno del producto dice que las ID de dispositivo no cambian para cada usuario, “a menos que un usuario desinstale y reinstale completamente el software”. Numerosos artículos y estudios académicos han demostrado cómo es posible desenmascarar a las personas con los llamados datos anónimos. En 2006, los reporteros del New York Times pudieron identificar a una persona de un caché de datos de búsqueda supuestamente anónimos que AOL publicó públicamente. Aunque los datos probados se centraron más en los enlaces de las redes sociales, un estudio de 2017 de la Universidad de Stanford descubrió que era posible identificar personas a partir de datos anónimos de navegación web.
La anonimización se convierte en una preocupación mayor al considerar cómo los eventuales usuarios finales de los datos de Jumpshot podrían combinarlos con sus propios datos.
La mayoría de las amenazas planteadas por la anonimización, en la que se identifican personas, proviene de la capacidad de fusionar la información con otros datos. Un conjunto de datos de Jumpshot obtenidos por Motherboard y PCMag muestra cómo cada URL visitada viene con una marca de tiempo precisa hasta el milisegundo, lo que podría permitir a una empresa con su propio banco de datos de clientes ver a un usuario visitando su propio sitio, y luego seguirlos. a través de otros sitios en los datos de Jumpshot.
Motherboard y PCMag le hicieron a Avast una serie de preguntas sobre cómo protegen el anonimato del usuario. Avast no respondió la mayoría de las preguntas, pero escribió en una declaración: “Debido a nuestro enfoque, nos aseguramos de que Jumpshot no obtenga información de identificación personal, incluido el nombre, la dirección de correo electrónico o los datos de contacto, de personas que utilizan nuestro popular software antivirus gratuito”.
“Los usuarios siempre han tenido la posibilidad de optar por no compartir datos con Jumpshot. A partir de julio de 2019, ya habíamos comenzado a implementar una opción de aceptación explícita para todas las descargas nuevas de nuestro AV, y ahora también estamos solicitando a nuestros usuarios gratuitos existentes. para hacer una elección explícita, un proceso que se completará en febrero de 2020 “.
“Es casi imposible desidentificar los datos”.
vice.com – 27/01/2020 –