Scandalo Avast: Perché non consigliamo più Avast e AVG

I nostri lettori ci continuano a inviare messaggi, chiedendoci perché continuiamo a inserire Avast e AVG nelle classifiche del nostro sito, nonostante siano stati coinvolti in un grave scandalo. Bene, dopo averci pensato parecchio, abbiamo deciso di rimuoverli definitivamente da tutte le nostre classifiche.

Perché? Perché Avast — che è l’azienda proprietaria di AVG — è stata coinvolta in una tempesta di polemiche negli ultimi mesi, in merito a gravi accuse di pratiche commerciali non etiche.

L’estensione per browser Avast Online Security è stata eliminata dagli store Mozilla, Chrome e Opera a dicembre 2019, dopo aver scoperto che raccoglieva una quantità sospetta di dati utente — non solo tutti i siti visitati, ma anche posizione, cronologia delle ricerche, età, genere, identità dei social media e persino le informazioni di spedizione personali. Tre mesi dopo, Avast ha chiuso una società sussidiaria, Jumpshot, sulla scia di rapporti investigativi che documentavano la vendita di dati personali da circa 100 milioni di utenti, tutti ottenuti attraverso una sorveglianza impropria degli utenti.

Nelle settimane successive, il team di SafetyDetectives ha attentamente valutato la decisione di cancellare Avast dal nostro sito. Alla fine, qualsiasi azienda che debba affrontare accuse così gravi non merita la nostra fiducia e non può ricevere la nostra approvazione.

Ecco come Avast avrebbe spiato i suoi utenti negli ultimi 7 anni

Wladimir Palant — il fondatore di Adblock Plus — è stato il primo a lanciare l’allarme per le pratiche scorrette di Avast. A ottobre 2019, ha pubblicato informazioni incriminanti sul suo blog, spiegando nel dettaglio come, secondo lui, Avast sarebbe riuscito a “trasmettere dati che consentono di ricostruire l’intera cronologia di navigazione Web e gran parte del comportamento di navigazione”.

In sostanza, le estensioni di sicurezza online di Avast e AVG registravano tutti i click degli utenti, documentando quali siti Web venivano visitati, quando e da dove. Avast ha affermato che la raccolta di dati era una parte necessaria del plug-in di sicurezza online, ma le estensioni browser di marchi concorrenti sembrano funzionare bene anche senza raccogliere e conservare una quantità così elevata di informazioni personali.

Dunque, è stata divulgata la notizia secondo cui questi dati venivano venduti a grandi aziende, come Home Depot, Google e Pepsi, tramite una consociata di Avast, Jumpshot.

Filiale Avast vendeva i dati degli utenti per milioni di dollari

Nel 2013, Avast ha acquisito Jumpshot, una società che aggregava i dati degli utenti “anonimi”, vendendoli alle aziende online. Le informazioni pubbliche di Jumpshot erano molto vaghe, ma sostenevano di ottenere “dati clickstream da 100 milioni di acquirenti online e 40 milioni di utenti di app”. La fonte dei dati utente di Jumpshot era lo spyware incorporato nelle estensioni del browser per la sicurezza online di Avast e AVG. Palant è stato una figura chiave per questa rivelazione, ma il colpo definitivo per Jumpshot è stato questo articolo di VICE Motherboard, pubblicato all’inizio del 2020. Elenca le società che hanno acquistato dati da Jumpshot insieme a testimonianze di informatori e documenti interni trapelati da Avast e Jumpshot. Jumpshot ha affermato che nessuna “informazione identificativa personale” era inclusa nei dati venduti, ma molti esperti non ne sono convinti.

Secondo l’indagine, i dati di Jumpshot contenevano tutti i click degli utenti di Avast Online Security, insieme a orari (accurati al millisecondo), paese di origine, città e codice postale degli indirizzi IP degli utenti. L’algoritmo progettato per censurare dati specifici come indirizzi e-mail e profili di social media è stato esposto da Palant a causa di un grave malfunzionamento: indirizzi di spedizione completi dei corrieri postali, inclusi nomi e indirizzi di casa, facevano parte dei pacchetti di dati venduti da Jumpshot.

Senatori e giornalisti investigativi statunitensi hanno ritenuto Avast responsabile

Il senatore dell’Oregon Ron Wyden, noto sostenitore della sicurezza informatica, della neutralità della rete e della privacy digitale, ha denunciato pubblicamente Avast a dicembre 2019, affermando su Twitter che “gli americani si aspettano che i software di sicurezza informatica e per la privacy proteggano i propri dati, non che li vendano agli addetti di marketing. Sto esaminando questo rapporto preoccupante su Avast e la sua incapacità di proteggere i dati dei consumatori”.

Quindi, dopo la rimozione dai web store di Chrome, Mozilla e Opera, Avast ha potuto abbandonare le proprie modalità di violazione della privacy, per iniziare a comportarsi come una compagnia di sicurezza informatica che si rispetti. Hanno modificato le impostazioni sulla privacy dell’estensione browser Online Security, che è tornata sugli store a fine dicembre. Tuttavia, come rivelato da VICE Motherboard, hanno semplicemente spostato la raccolta di dati nella suite antivirus principale, incorporando una richiesta per la raccolta di dati durante il processo di installazione.

Con la pubblicazione dell’articolo di VICE Motherboard e di fronte all’unanime disapprovazione pubblica, Avast ha finalmente chiuso del tutto Jumpshot a febbraio 2020. Ma per SafetyDetectives, e molti altri nel mondo della sicurezza informatica, è stato un po’ troppo tardi. 7 anni di profitti nascosti derivanti dai dati degli utenti rendono questa vicenda una delle più grandi violazioni etiche nella storia degli antivirus.

Perché le violazioni etiche da parte delle aziende antivirus sono così gravi

I software antivirus sono tra i programmi più invasivi in circolazione. Al nostro antivirus, offriamo un livello di accesso al nostro sistema senza precedenti: file sensibili, cronologia di navigazione, informazioni finanziarie e reti private. Accettiamo politiche sulla privacy e termini e condizioni presupponendo che non ci sia un linguaggio ingannevole nei contratti. Ma violando in questo modo la privacy dei propri utenti, Avast ha rovinato il rapporto tra utenti e prodotti antivirus in tutto il mondo. Ci sono già abbastanza minacce da parte di hacker e governi invasivi di cui preoccuparci: i fornitori di antivirus non dovrebbero essere un’altra minaccia alla sicurezza degli utenti.

Jumpshot è stato ufficialmente chiuso e Avast Online Security è tornato sugli store di Chrome e Mozilla, con una protezione della privacy più rigorosa. Ma resta il fatto che Avast si sia approfittato dei dati dei propri utenti per 7 anni in modo non etico e l’unica cosa che li ha fermati è stato il reportage civile di Wladimir Palant e dei giornalisti investigativi di VICE Motherboard. A nostro avviso, se i professionisti indipendenti non avessero documentato rigorosamente queste gravi violazioni notificandole al pubblico, Avast avrebbe starebbe ancora gestendo questa truffa. Si potrebbe anche dire che Avast abbia deciso di cambiare veramente le proprie prassi solo dopo l’affronto da parte di un senatore degli Stati Uniti.

Il feedback degli utenti ci ha convinto a rimuovere Avast da SafetyDetectives

Qui a SafetyDetectives, abbiamo avuto altri problemi con Avast nel corso degli anni: a seguito di una recensione negativa, l’azienda ha ritirato la propria pubblicità dal nostro sito. Tuttavia, ci sforziamo sempre per offrire i migliori prodotti di sicurezza informatica, indipendentemente dai nostri rapporti commerciali con le aziende che rendono il nostro sito profittevole. Ecco perché abbiamo continuato a includere Avast e AVG nei nostri elenchi — tenendoli anche come prima scelta per il miglior antivirus per dispositivi mobili:

Perché le violazioni etiche da parte delle aziende antivirus sono così gravi

Tuttavia, con le violazioni della privacy degli utenti così evidenti verificate negli ultimi 7 anni, non possiamo più continuare a promuovere Avast o una delle loro filiali (come AVG) sul nostro sito.

È da parecchio tempo che stavamo tenendo in considerazione questo provvedimento. Anche se molti dei migliori siti di recensioni continuano a promuovere – e guadagnare con — Avast, ormai è da un po’ che li stiamo tirando fuori dalle nostre classifiche. La motivazione finale, è stata per il feedback ricevuto dai nostri lettori, con messaggi come questo: “Dopo lo scandalo sulla vendita di dati di AVAST, questo software non dovrebbe ricevere alcuna recensione positiva o raccomandazione.”

Siamo completamente d’accordo. Questo tipo di violazione della privacy dovrebbe infastidire chiunque creda nei diritti umani fondamentali. Per questo è così importante che gli utenti siano informati di queste vicende, per proteggere i loro computer con antivirus affidabili.

Non è sempre una cosa facile da fare, ma è importante rispondere alle grandi aziende quando violano i nostri diritti. SafetyDetectives è stato creato con l’intento di offrire alle persone di tutto il mondo gli strumenti per proteggere i propri dati nell’era digitale — da hacker, governi non etici e persino aziende di sicurezza informatica predatorie come Avast, che hanno mostrato quanto poco si preoccupino dei loro utenti.

Mentre Avast è tornato nella maggior parte dei principali store e quasi 400 milioni di utenti continuano a utilizzare il loro programma, ignorando queste violazioni etiche, tutti noi del team SafetyDetectives siamo orgogliosi di essere fermi nelle nostre convinzioni.

Quindi, se ti stai chiedendo perché non menzioniamo Avast o AVG sul nostro sito Web, ecco perché.

Se hai bisogno di un antivirus che non rubi i tuoi dati e non li venda a Pepsi, dai un’occhiata al nostro elenco dei migliori antivirus del 2020.

Sull'autore

Ben Martens
Ben Martens
Cybersecurity journalist

Sull'autore

Ben Martens è un giornalista di sicurezza informatica, formato in etica di internet, testing di malware e policy pubbliche. Vive in Oregon e quando non protegge i diritti degli utenti di internet gli piace portare a spasso il cane e creare storie con sua figlia.