Aplikacja antywirusowa Avast sprzedaje „każde wyszukiwanie”, „każde kliknięcie”, „każdy zakup w każdej odwiedzanej witrynie”. Kupujący to Home Depot, Google, Microsoft, Pepsi i McKinsey.
(publikowane ze skrótami)
Używany przez setki milionów ludzi na całym świecie, program antywirusowy sprzedaje osobiste dane przeglądania sieci wielu największym firmom na świecie. Świadczy o tym wspólne dochodzenie portali Motherboard i PCMag. Materiał oparty jest na „wyciekłych” dokumentach firmowych, które dowodzą, że firma będąca właścicielem programu antywirusowego sprzedaje wysoce poufne dane.
Dokumenty, których właścicielem jest Jumpshot, spółka zależna giganta antywirusowego Avast, rzucają nowe światło na ukrytą historię sprzedaży osobistych danych internetowych. Program antywirusowy Avast zainstalowany na komputerze użytkownika gromadzi dane, a Jumpshot „przepakowuje” je w różne produkty, które są następnie sprzedawane wielu największym firmom na świecie. Lista zakupów obejmuje gigantów, takich jak Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit i wiele innych. Niektórzy klienci zapłacili miliony dolarów za produkty zawierające tak zwany „kanał obejmujący wszystkie kliknięcia”, który może z dużą dokładnością śledzić zachowanie użytkowników, kliknięcia i nawigację w witrynie.
Avast twierdzi, że ma ponad 435 milionów aktywnych użytkowników miesięcznie, a Jumpshot gromadzi dane ze 100 milionów urządzeń. Avast zbiera dane użytkownika, a następnie przesyła je do Jumpshot, ale kilku użytkowników Avast powiedziało Motherboard, że nie wiedzieli, że ich dane są udostępniane stronom trzecim.
Według Motherboard i PCMag te dane osobowe obejmowały wyszukiwania w Google, lokalizację Map Google i współrzędne GPS, strony LinkedIn, prywatne filmy z YouTube i informacje o odwiedzanych witrynach pornograficznych. Korzystając z zebranej puli danych, można określić, kiedy anonimowy użytkownik odwiedził YouPorn i PornHub, a w niektórych przypadkach nawet wyszukiwania i oglądane filmy.
Chociaż zbiory danych nie zawierają danych osobowych, takich jak nazwy użytkowników, nadal zawierają wiele konkretnych danych, a eksperci twierdzą, że deanonimizacja konkretnej osoby, która ich używa, nie jest trudna.
W komunikacie prasowym wydanym w lipcu Jumpshot twierdzi, że jest „jedyną firmą, która ujawnia szereg tajemnic” i zobowiązuje się do „zapewnienia marketerom głębszego zrozumienia aktywności klientów w Internecie”. „Są bardzo szczegółowe i bardzo interesujące dla kupujących, ponieważ odpowiadają poziomowi urządzenia z sygnaturą czasową” - skomentowało źródło Motherboard, powołując się na specyfikę i wrażliwość sprzedawanych danych.
Film promocyjny:
Do niedawna Avast zbierał dane o ruchu od klientów, którzy zainstalowali wtyczkę do przeglądarki opracowaną przez firmę, aby ostrzegać użytkowników o podejrzanych witrynach internetowych. Badacz bezpieczeństwa i twórca AdBlock Plus, Vladimir Palant, opublikował w październiku post na blogu, w którym twierdzi, że Avast zbiera dane użytkowników za pomocą wtyczki. Wkrótce potem twórcy przeglądarek Mozilla, Opera i Google usunęli rozszerzenia Avast ze swoich sklepów. Avast wcześniej wyjaśnił zbieranie i udostępnianie danych na blogu i forum w 2015 roku. Od tego czasu Avast rzekomo przestał wysyłać dane przeglądania gromadzone przez te rozszerzenia.
Jednak gromadzenie danych trwa, źródło i dokumenty wskazują. Zamiast zbierać informacje za pomocą oprogramowania podłączonego do przeglądarki, Avast robi to za pomocą samego programu antywirusowego. W zeszłym tygodniu, miesiące po wykryciu, że używa rozszerzeń przeglądarki do wysyłania danych do Jumpshot, Avast zaczął prosić swoich klientów antywirusowych o zezwolenie na gromadzenie danych. „Jeśli użytkownicy wyrażą zgodę, urządzenie zacznie rejestrować całą aktywność online klienta”, mówi wewnętrzna instrukcja produktu.
Motherboard i PCMag skontaktowały się z ponad dwoma tuzinami firm wymienionych w wewnętrznych zgłoszeniach. Niewielu odpowiedziało na pytania dotyczące tego, co robią z danymi na podstawie historii przeglądania użytkowników Avast.
„Czasami korzystamy z informacji od zewnętrznych dostawców, aby ulepszyć naszą działalność, produkty i usługi. Wymagamy, aby ci dostawcy mieli odpowiednie prawa do przekazywania nam tych informacji. W tym przypadku otrzymujemy anonimowe dane o odbiorcach, których nie można wykorzystać do identyfikacji poszczególnych klientów”- powiedział rzecznik Home Depot za pośrednictwem poczty elektronicznej.
Microsoft odmówił komentarza na temat specyfiki nabywania produktów od Jumpshot, ale powiedział, że nie ma stałej relacji z firmą. Rzecznik Yelp napisał w e-mailu: „W 2018 r., W ramach wniosku o udzielenie informacji, zespół Yelp został poproszony o ocenę wpływu Google na lokalny rynek wyszukiwarek. W tym czasie używano wyskoku”.
Southwest Airlines poinformowało, że omawiało współpracę z Jumpshot, ale nie osiągnęło porozumienia z firmą. IBM powiedział, że nie działa z Jumpshot, a Altria powiedziała, że teraz nie działa z Jumpshot, chociaż nie wskazał, czy działał wcześniej. Sephora stwierdziła, że to nie działa z Jumpshot. Google nie odpowiedział na prośbę o komentarz.
Na swojej stronie internetowej oraz w komunikatach prasowych Jumpshot wymienia Pepsi oraz gigantów konsultingowych Bain & Company i McKinsey jako swoich klientów.
Oprócz Expedia, Intuit i Loreal, inne firmy, które nie zostały jeszcze uwzględnione w publicznych ogłoszeniach Jumpshot, to firma kawowa Keurig, YouTube vidIQ i Hitwise, firma zajmująca się badaniami konsumentów. Żadna z tych firm nie odpowiedziała na prośbę o komentarz.
Na swojej stronie internetowej Jumpshot wymienia niektóre z poprzednich przypadków użycia swoich danych. Na przykład Condé Nast wykorzystał produkty Jumpshot, aby sprawdzić, czy reklama firmy medialnej prowadziła do zakupów na Amazon i gdzie indziej. Condé Nast nie odpowiedział na prośbę o komentarz.
Jumpshot sprzedaje różne produkty w oparciu o dane zebrane przez oprogramowanie antywirusowe Avast zainstalowane na komputerach użytkowników. Klienci z sektora finansów instytucjonalnych często kupują kanały z 10 000 domen, które użytkownicy Avast odwiedzają, aby spróbować dostrzec trendy, mówi przewodnik po produktach.
Kolejnym produktem Jumpshot jest tak zwany „All Click Feed”. Pozwala to klientowi na zakup informacji o wszystkich kliknięciach, które Jumpshot zobaczył w określonej domenie, takiej jak Amazon.com, Walmart.com, Target.com, BestBuy.com lub Ebay.com.
W tweecie opublikowanym w zeszłym miesiącu, którego celem było przyciągnięcie nowych klientów, Jumpshot zauważył, że gromadzi „Każde wyszukiwanie. Każde kliknięcie. Informacje o każdym zakupie w każdej witrynie”.
Dane Jumpshot mogą pokazywać, że ktoś z zainstalowanym Avastem na swoim komputerze szukał w Google produktu, kliknął link prowadzący do Amazon, a następnie prawdopodobnie dodał produkt do koszyka w innej witrynie, zanim w końcu kup produkt.
Jedną z firm, które przejęły All Clicks, jest nowojorska firma marketingowa Omnicom Media Group. Zgodnie z umową Omnicom zapłacił firmie Jumpshot 2075000 USD za dostęp do danych w 2019 r. Umowa obejmowała również inny produkt o nazwie Insight Feed dla 20 różnych domen. Zgodnie z dokumentem opłaty za dane w 2020 r., A następnie w 2021 r. Wynoszą odpowiednio 2225000 USD i 2275000 USD.
Jumpshot zapewnił Omnicom dostęp do wszystkich kanałów klikania z 14 różnych krajów, w tym ze Stanów Zjednoczonych, Anglii, Kanady, Australii i Nowej Zelandii. Produkt obejmuje również planowaną płeć użytkowników „na podstawie zachowania podczas przeglądania”, ich szacunkowy wiek i „cały ciąg adresu URL”, ale z usuniętymi informacjami umożliwiającymi identyfikację (PII).
Omnicom nie odpowiedział na kilka próśb o komentarz.
Zgodnie z umową „identyfikator urządzenia” każdego użytkownika jest haszowany, co oznacza, że firma kupująca dane nie musi być w stanie określić, kto dokładnie stoi za każdym wyświetleniem. Zamiast tego produkty Jumpshot mają pomóc firmom zrozumieć, które produkty są szczególnie popularne lub jak skuteczna jest kampania reklamowa.
Ale dane Jumpshot nie mogą być całkowicie anonimowe. Wewnętrzny podręcznik produktu stwierdza, że identyfikatory urządzeń nie zmieniają się dla każdego użytkownika, „chyba że użytkownik całkowicie odinstaluje i ponownie zainstaluje oprogramowanie zabezpieczające”. Liczne artykuły i badania naukowe wykazały, że całkiem możliwe jest narażanie ludzi przy użyciu tzw. Anonimowych danych. W 2006 roku reporterzy „New York Timesa” byli w stanie zidentyfikować konkretną osobę z pamięci podręcznej rzekomo anonimowych danych wyszukiwania, które AOL opublikowało. Podczas gdy zweryfikowane dane były bardziej skoncentrowane na linkach do mediów społecznościowych, które redagował Jumpshot, badanie z 2017 r. Na Uniwersytecie Stanforda wykazało, że można zidentyfikować osoby na podstawie anonimowych danych online.
Motherboard i PCMag zadały firmie Avast szereg szczegółowych pytań na temat tego, jak chroni anonimowość użytkowników, a także zażądały szczegółów dotyczących niektórych umów firmy. Avast nie odpowiedział na większość pytań, ale wydał oświadczenie: „Dzięki naszemu podejściu zapewniamy, że Jumpshot nie otrzyma danych osobowych, w tym nazwiska, adresu e-mail lub danych kontaktowych osób korzystających z naszego popularnego bezpłatnego oprogramowania antywirusowego”.
„Użytkownicy zawsze mieli możliwość rezygnacji z komunikacji z Jumpshot. Od lipca 2019 r. Zaczęliśmy już wprowadzać wyraźne wybory dla wszystkich nowych plików do pobrania naszego programu antywirusowego, a teraz prosimy również o zgodę naszych obecnych bezpłatnych użytkowników - proces ten zostanie zakończony w lutym 2020 r.”- powiedział rzecznik Avast, dodając, że firma jest zgodny z kalifornijską ustawą o ochronie konsumentów (CCPA) i ogólnym europejskim rozporządzeniem o ochronie danych (RODO) w odniesieniu do całej globalnej bazy użytkowników.
„Mamy długą historię ochrony urządzeń użytkowników i danych przed złośliwym oprogramowaniem, a także rozumiemy i poważnie traktujemy odpowiedzialność za zrównoważenie prywatności użytkowników z koniecznym wykorzystaniem danych” - czytamy w oświadczeniu.
Kiedy dziennikarz PCMag po raz pierwszy zainstalował w tym miesiącu produkt antywirusowy Avast, program zapytał, czy chce uczestniczyć w zbieraniu danych.
„Na życzenie udostępnimy naszej spółce zależnej Jumpshot Inc. dedykowany i pozbawiony elementów identyfikacyjnych zbiór danych pochodzący z historii przeglądania, dzięki czemu Jumpshot może analizować rynki i trendy biznesowe oraz gromadzić inne cenne informacje”- głosi komunikat. Jednak wyskakujące okienko nie zawiera dokładnych informacji o tym, jak Jumpshot wykorzystuje te dane.
„Informacje są całkowicie pozbawione identyfikacji i zagregowane, nie mogą być wykorzystywane do osobistej identyfikacji. Jumpshot może udostępniać swoim klientom zagregowane informacje”- dodał wyskakujące okienko.
Aktualizacja: po opublikowaniu tego dochodzenia firma Avast ogłosiła, że wstrzymuje gromadzenie danych przy użyciu funkcji Jumpshot.
Joseph Cox