Com tantos dispositivos, softwares e aplicativos nos cercando diariamente parece que estamos constantemente vulneráveis a algum tipo de nova ameaça cibernética. Uma das medidas mais comuns que as pessoas adotam é instalar algum tipo de antivírus, mas parece que nem eles são capazes de proteger nossos dados. Muito pelo contrário.

Uma investigação realizada pelo Motherboard e PCMag revelou que o programa de antivírus Avast, quando instalado em um computador, coleta dados do usuário para enviar à sua subsidiária Jumpshot, que transforma esses dados em diferentes produtos para serem vendidos a grandes empresas. Alguns desses compradores incluem Google, Yelp, Microsoft, a consultoria McKinsey, Pepsi, a loja Home Depot, a editora Condé Nast, entre outros.

Segundo a reportagem, alguns clientes chegaram a pagar milhões de dólares por produtos que incluem algo chamado “All Clicks Feed”, capaz de monitorar o comportamento dos usuários, seus cliques e atividades em sites com grande riqueza de detalhes.

A denúncia feita pelos sites baseia-se em dados vazados de usuários, contratos e outros documentos. A Avast alega ter mais de 435 milhões de usuários ativos mensais, sendo que a Jumpshot possui dados de 100 milhões de dispositivos. Apesar de a Avast coletar dados de pessoas que optam por ceder suas informações, o Motherboard afirma que muitos não estavam cientes de que a empresa vendia dados, o que faz questionar o quão clara a empresa é ao solicitar essa permissão.

Os usuários são anonimizados, mas as informações permitem determinar datas e horários em que uma pessoa visitou um site e, em alguns casos, até as palavras-chave que usou em sua busca. Com uma quantidade significativa de detalhes disponíveis, portanto, seria possível identificar algumas pessoas.

De acordo com a reportagem, os dados coletados pela empresa incluíam buscas no Google, pesquisas de endereços e coordenadas GPS no Google Maps, visitas a páginas do LinkedIn, vídeos privados do YouTube, além de acessos a sites de pornografia.

Cadeia de fornecimento de dados de navegação do Avast até os clientes da Jumpshot. Infográfico: Motherboard

Essa não é a primeira vez que a Avast se envolve nessa polêmica, no entanto. Em outubro do ano passado, Wladimir Palant, pesquisador de segurança e criador do AdBlock Plus, havia revelado que a Avast coletava dados dos usuários por meio da extensão para navegador do programa de antivírus.

Pouco tempo depois, empresas como Mozilla, Opera e Google removeram as extensões da Avast e AVG (subsidiária da Avast) de suas lojas.

Desde então, a empresa de antivírus teria parado de enviar dados coletados por meio dessas extensões para a Jumpshot, segundo declaração feita pela própria companhia ao Motherboard e PCMag.

Porém, o que os documentos indicam é que a Avast achou uma outra maneira de continuar lucrando com a venda de dados de usuários. A coleta dessas informações é feita agora diretamente do software de antivírus instalado em computadores. Um documento interno mostra que na semana passada a empresa começou a solicitar que os usuários optassem por permitir essa coleta de dados.

Após entrar em contato com as empresas citadas nos documentos, o Motherboard e o PCMag receberam respostas apenas de algumas em relação ao que elas faziam com os dados adquiridos. A explicação, como era de se esperar, não difere muito do discurso padrão adotado pelas companhias quando algum escândalo de privacidade surge.

“Às vezes, usamos informações de terceiros para ajudar a aprimorar nossos negócios, produtos e serviços. Exigimos que esses fornecedores tenham a autorização apropriada para compartilhar essas informações conosco. Nesse caso, recebemos dados de audiência anonimizados, que não podem ser utilizados para identificar clientes individuais”, disse um porta-voz da Home Depot aos sites.

Assim como o Google, a Microsoft se recusou a comentar, mas acrescentou que atualmente não mantém relações com a Jumpshot.

Uma cópia de um dos contratos da Jumpshot mostra que a companhia de marketing Omnicom Media Group pagou US$ 2.075.000 em 2019 pelo “All Clicks Feed” e um outro produto chamado “Insight Feed”.

De acordo com a fonte que forneceu os documentos para a reportagem, os dados coletados pela Jumpshot podem revelar como uma pessoa pesquisou um produto no Google, clicou em um link para a Amazon e então, talvez, acabou adicionando um item em seu carrinho em um site diferente antes de finalmente comprá-lo.

Com esse produto, a Omnicom conseguiu ter acesso a dados de mais de 14 países, incluindo a idade dos usuários, gênero e toda o caminho da URL. Assim, o que a Jumpshot promete é a possibilidade de obter insights sobre quais produtos são mais populares ou a eficiência de determinada campanha publicitária.

Apesar de a Jumpshot argumentar que os dados são anonimizados, é muito fácil para uma empresa cruzar os dados comprados da empresa com seus próprios dados coletados. Por exemplo, as informações da Jumpshot mostram o horário, incluindo milissegundos, em que uma URL foi visitada. Com isso, uma companhia pode consultar seu próprio banco de dados de clientes para identificar um usuário em seu site e então acompanhar suas atividades pela web por meio dos dados fornecidos pela Jumpshot.

O Motherboard e o PCMag entraram em contato com a Avast para questionar essas práticas, mas a empresa não respondeu a maioria das perguntas, limitando-se a um comunicado em que afirma que “garantimos que a Jumpshot não adquire informações de identificação pessoal, incluindo nome, endereço de e-mail ou detalhes de contato de pessoas que utilizam nosso popular software antivírus gratuito”.

[Motherboard]