I dati degli utenti sono un patrimonio di altissimo valore. Molte aziende sono disposte a pagare milioni per mettere le mani su informazioni dettagliate circa la navigazione, la localizzazione, la cronologia del browser. Le leggi sulla privacy, GDPR in primis, sono nate proprio per tutelare la privacy degli utenti. Per impedire la compravendita indiscriminata di dati alle spalle dei clienti. Raccogliere dati è legale, se gli utenti ne sono consapevoli. Se hanno avuto la possibilità di scegliere che cosa condividere.

Non sempre questo meccanismo funziona. Un esempio lampante è quanto accaduto con il noto produttore di antivirus Avast e la sua sussidiaria Jumpshot. Acquistata nel 2013, quest'ultima era titolare di efficienti soluzioni per l'ottimizzazione e pulizia dei Pc. L'idea alla base dell'acquisizione era fornire un pacchetto unico ai clienti che proteggesse dalle minacce informatiche e ottimizzasse le prestazioni.

Il problema emerso a fine 2019 è che Jumpshot usava i dati di navigazione degli utenti collezionati con l'antivirus. Questi dati includevano le ricerche su Google, la posizione GPS delle località cercate con Google Maps, tutti gli URL visitati con riferimenti temporali precisi. Jumpshot ha ammesso di disporre di dati provenienti da oltre 100 milioni di dispositivi. Li vendeva a terzi con finalità di profilazione dell'utenza, marketing e pubblicità. Tra i suoi clienti c'erano Google, Yelp, Microsoft, Expedia, Pepsi, L'Oreal, eccetera.
Fra i pacchetti in vendita c'era quello "All Click Feed", che permetteva ai clienti di vedere tutti i clic degli utenti sui singoli domini. Lo scandalo ha portato Mozilla e Opera a rimuovere dai loro browser le estensioni di Avast. Un modo efficace per impedire la raccolta dati degli utenti e delle cronologie di navigazione.

Lo scandalo ha costretto Avast a prendere provvedimenti drastici. La raccolta dei dati di Jumpshot è stata interrotta e le sue operazioni sono state chiuse con effetto immediato. Visto lo scandalo, il CEO di Avast Ondrej Vlcek ha preso le distanze, sottolineando che Jumpshot operava in modo indipendente. Però ha ribadito che sia Avast che Jumpshot hanno agito "entro i limiti legali" e "si sono impegnati per rispettare al 100% il GDPR". Secondo il CEO i dati erano anonimizzati, alcuni esperti di sicurezza sono di parere contrario.

La vicenda si è chiusa, il focus si sposta dalla cronaca alla best practice. Quanto accaduto evidenzia il confine talvolta poco definito, ma molto reale, tra le esigenze di sicurezza e la tutela della privacy. Tutti i produttori di antivirus, per fornire prodotti zelanti, raccolgono dati. Si sa, lo si accetta. Da qui a rivendere le informazioni a suon di quattrini ce ne passa.

Che i big data valgano oro è noto; proprio per limitarne un uso indiscriminato sono nate le leggi per la tutela della privacy. Poco importa che qualcuno sia disposto a rinunciare alla propria privacy. Quello che conta è che dev'esserne cosciente, e deve poter esprimere consapevolmente la sua volontà. Chi non concorda, deve avere la garanzia che la sua privacy sia rispettata. Altrimenti crollano i presupposti di fiducia verso le molte aziende che lavorano onestamente, in un settore cruciale come la cyber security.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.