O aplicativo antivírus da Avast vende "todas as pesquisas", "todos os cliques", "todas as informações de compra em todos os sites que você visita". Os compradores incluem Home Depot, Google, Microsoft, Pepsi e McKinsey.
(publicado com abreviações)
Usado por centenas de milhões de pessoas em todo o mundo, um programa antivírus vende dados pessoais de navegação na web para muitas das maiores empresas do mundo. Isso é evidenciado por uma investigação conjunta dos portais Motherboard e PCMag. O material é baseado em documentos "vazados" da empresa que comprovam que a empresa proprietária do antivírus está vendendo dados altamente confidenciais.
Os documentos, de propriedade da Jumpshot, uma subsidiária da gigante de antivírus Avast, lançam uma nova luz sobre a história oculta da venda de dados pessoais na Internet. O antivírus Avast instalado no computador de uma pessoa coleta dados e o Jumpshot os “reempacota” em vários produtos, que são então vendidos para muitas das maiores empresas do mundo. A lista de compras inclui gigantes como Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit e muitos mais. Alguns clientes pagaram milhões de dólares por produtos que incluem o chamado “canal de todos os cliques”, que pode rastrear o comportamento do usuário, cliques e navegação no site com alta precisão.
Avast afirma ter mais de 435 milhões de usuários ativos por mês e Jumpshot coleta dados de 100 milhões de dispositivos. O Avast coleta os dados do usuário e os envia para o Jumpshot, mas vários usuários do Avast disseram ao Motherboard que não sabiam que seus dados estavam sendo compartilhados com terceiros.
De acordo com a Motherboard e a PCMag, esses dados pessoais incluíam pesquisas do Google, localização do Google Maps e coordenadas GPS, páginas do LinkedIn, vídeos privados do YouTube e informações sobre sites pornôs visitados. Usando o pool de dados coletados, é possível determinar quando um usuário anônimo visitou YouPorn e PornHub e, em alguns casos, até mesmo pesquisas e vídeos específicos assistidos.
Embora os conjuntos de dados não incluam informações pessoais, como nomes de usuário, eles ainda contêm muitos dados específicos, e os especialistas dizem que não é tão difícil desanonimizar uma pessoa em particular usando-os.
Em um comunicado à imprensa divulgado em julho, a Jumpshot afirma ser "a única empresa a revelar uma série de segredos" e está empenhada em "fornecer aos profissionais de marketing um entendimento mais profundo da atividade online do cliente". “Eles são muito detalhados e de grande interesse para os compradores porque estão no nível do dispositivo com um carimbo de hora”, comentou a fonte da Motherboard, citando as especificidades e a sensibilidade dos dados que estão sendo vendidos.
Vídeo promocional:
Até recentemente, o Avast coletava dados de tráfego de clientes que instalaram um plug-in de navegador desenvolvido pela empresa para alertar os usuários sobre sites suspeitos. O pesquisador de segurança e criador do AdBlock Plus, Vladimir Palant, postou um blog em outubro afirmando que o Avast coleta dados do usuário usando o plugin. Pouco tempo depois, os fabricantes de navegadores Mozilla, Opera e Google removeram as extensões Avast de suas respectivas lojas. Avast explicou anteriormente essa coleta e compartilhamento de dados em um blog e postagem de fórum em 2015. Desde então, o Avast supostamente parou de enviar dados de navegação coletados por essas extensões.
No entanto, a coleta de dados continua, a fonte e os documentos indicam. Em vez de coletar informações usando um software conectado ao navegador, o Avast o faz usando o próprio antivírus. Na semana passada, meses depois de ser descoberto usando suas extensões de navegador para enviar dados ao Jumpshot, a Avast começou a pedir a seus clientes de antivírus para permitir a coleta de dados. “Se os usuários concordarem, o dispositivo começa a registrar todas as atividades online do cliente”, diz o manual interno do produto.
Motherboard e PCMag contataram mais de duas dúzias de empresas mencionadas em registros internos. Poucos responderam às perguntas sobre o que fazem com os dados com base no histórico de navegação dos usuários do Avast.
“Às vezes, usamos informações de fornecedores terceirizados para ajudar a melhorar nossos negócios, produtos e serviços. Exigimos que esses fornecedores tenham os direitos apropriados para nos fornecer essas informações. Nesse caso, recebemos dados de audiência anônimos que não podem ser usados para identificar clientes individuais”, disse um porta-voz da Home Depot por e-mail.
A Microsoft não quis comentar sobre os detalhes da aquisição de produtos da Jumpshot, mas disse que não tem um relacionamento contínuo com a empresa. Um porta-voz do Yelp escreveu em um e-mail: “Em 2018, como parte de um pedido antitruste de informações, a equipe do Yelp foi solicitada a avaliar o impacto do Google no mercado de mecanismo de busca local. Jumpshot foi usado em um momento."
Southwest Airlines disse que discutiu uma parceria com a Jumpshot, mas não chegou a um acordo com a empresa. A IBM disse que não funcionou com o Jumpshot, e Altria disse que não funcionava com o Jumpshot agora, embora não tenha indicado se funcionava antes. Sephora afirmou que isso não funciona com Jumpshot. O Google não respondeu a um pedido de comentário.
Em seu site e em comunicados à imprensa, a Jumpshot nomeia a Pepsi, as gigantes da consultoria Bain & Company e McKinsey como clientes.
Além da Expedia, Intuit e Loreal, outras empresas ainda não incluídas nos anúncios públicos da Jumpshot incluem a empresa de café Keurig, YouTube vidIQ e Hitwise, uma empresa de pesquisa de consumo. Nenhuma dessas empresas respondeu a um pedido de comentário.
Em seu site, Jumpshot lista alguns dos casos de uso anteriores para seus dados. Por exemplo, a Condé Nast usou produtos Jumpshot para ver se o anúncio de uma empresa de mídia levava a compras na Amazon e em outros lugares. A Condé Nast não respondeu a um pedido de comentário.
A Jumpshot vende vários produtos com base em dados coletados pelo software antivírus Avast instalado nos computadores dos usuários. Os clientes do setor financeiro institucional geralmente compram canais de 10.000 domínios que os usuários do Avast visitam para tentar detectar tendências, diz o guia do produto.
Outro produto Jumpshot é o chamado "All Click Feed". Isso permite que o cliente compre informações sobre todos os cliques que o Jumpshot viu em um domínio específico, como Amazon.com, Walmart.com, Target.com, BestBuy.com ou Ebay.com.
Em um tweet postado no mês passado com o objetivo de atrair novos clientes, Jumpshot observou que coleta “Todas as pesquisas. Cada clique. Informações sobre cada compra em cada site."
Os dados do Jumpshot podem mostrar alguém com Avast instalado em seu computador pesquisando um produto no Google, clicar em um link que levava à Amazon e, em seguida, possivelmente adicionar o item ao carrinho em outro site antes de finalmente, compre um produto.
Uma das empresas que adquiriu a All Clicks é a Omnicom Media Group, empresa de marketing sediada em Nova York. Segundo o contrato, a Omnicom pagou à Jumpshot $ 2.075.000 pelo acesso a dados em 2019. O negócio também incluiu outro produto chamado Insight Feed para 20 domínios diferentes. As taxas de dados em 2020 e em 2021 são indicadas em $ 2.225.000 e $ 2.275.000, respectivamente, diz o documento.
O Jumpshot deu à Omnicom acesso a todos os canais de cliques de 14 países diferentes ao redor do mundo, incluindo Estados Unidos, Inglaterra, Canadá, Austrália e Nova Zelândia. O produto também inclui o sexo pretendido dos usuários "com base no comportamento de navegação", sua idade estimada e "string de URL inteira", mas com as informações de identificação pessoal (PII) removidas.
A Omnicom não respondeu a vários pedidos de comentários.
Por contrato, o “ID do dispositivo” de cada usuário é hash, o que significa que a empresa que compra os dados não precisa ser capaz de determinar quem exatamente está por trás de cada visualização. Em vez disso, os produtos Jumpshot devem ajudar as empresas a entender quais produtos são particularmente populares ou quão eficaz é uma campanha publicitária.
Mas os dados do Jumpshot não podem ser completamente anônimos. O manual interno do produto afirma que os IDs do dispositivo não mudam para cada usuário "a menos que o usuário desinstale e reinstale completamente o software de segurança". Numerosos artigos e estudos científicos têm mostrado que é perfeitamente possível expor pessoas usando os chamados dados anônimos. Em 2006, repórteres do New York Times foram capazes de identificar uma pessoa específica a partir de um cache de dados de pesquisa supostamente anônimos que a AOL divulgou publicamente. Embora os dados verificados estivessem mais focados em links de mídia social editados por Jumpshot, um estudo de 2017 da Universidade de Stanford descobriu que era possível identificar pessoas a partir de dados anônimos online.
O Motherboard e o PCMag fizeram ao Avast uma série de perguntas detalhadas sobre como ele protege o anonimato dos usuários e também solicitaram detalhes sobre alguns dos contratos da empresa. Avast não respondeu à maioria das perguntas, mas emitiu uma declaração: "Através de nossa abordagem, garantimos que Jumpshot não receberá informações de identificação pessoal, incluindo o nome, endereço de e-mail ou informações de contato de pessoas que usam nosso popular software antivírus gratuito."
“Os usuários sempre tiveram a opção de cancelar a comunicação com o Jumpshot. Em julho de 2019, já começamos a implementar opções explícitas para todos os novos downloads de nosso antivírus, e agora também estamos solicitando consentimento de nossos usuários gratuitos existentes - um processo que será concluído em fevereiro de 2020”, disse um porta-voz da Avast, acrescentando que a empresa está em conformidade com o California Consumer Protection Act (CCPA) e o General European Data Protection Regulation (GDPR) para toda a sua base de usuários global.
“Temos um longo histórico de proteção de dispositivos e dados de usuários contra malware e entendemos e levamos a sério a responsabilidade de equilibrar a privacidade do usuário com o uso necessário de dados”, afirma o comunicado.
Quando um jornalista da PCMag instalou o produto antivírus Avast pela primeira vez neste mês, o programa perguntou se ele queria participar da coleta de dados.
“Por favor, forneceremos nossa subsidiária Jumpshot Inc. um conjunto de dados dedicado e desidentificado derivado de seu histórico de navegação para que o Jumpshot possa analisar mercados e tendências de negócios e coletar outros insights valiosos”, diz a mensagem. No entanto, o pop-up não detalhou exatamente como Jumpshot usa esses dados.
“As informações são completamente desidentificadas e agregadas, não podendo ser utilizadas para identificação pessoal. O Jumpshot pode compartilhar informações agregadas com seus clientes”, acrescentou um pop-up.
Atualização: Após o lançamento desta investigação, Avast anunciou que está suspendendo a coleta de dados usando Jumpshot.
Por Joseph Cox
