Viirusetõrjearendaja Avast tütarettevõte müüs iga otsingutermini. Iga klõps. iga ostu. igalt saidilt. Tema klientide hulgas olid Google, Microsoft, Pepsi jt.
See episood toimus aasta tagasi. Pärast uurimist teatas Avast, et lõpetab Jumpshoti jaoks andmete kogumise ja peatab kiiremas korras kõik sellega tehtavad tehingud. Oleme selle põneva loo tervikuna tõlkinud ja kutsume teid lugema ja oma järeldusi tegema.
Avast viirusetõrje, mida kasutavad miljonid inimesed üle maailma, müüb oma kasutajate tundlikke andmeid suurtele ettevõtetele, selgus Emaplaadi ja PCMagi ühisest uurimisest. Lekkinud sisedokumendid tõestavad kauplemist väga tundlike andmetega, sealhulgas kasutajate brauseri ajalooga.
Avast tütarettevõtte Jumpshot dokumendid heidavad valgust kasutajate brauseri ajaloo salajastele kaubandus- ja tarneahelatele. Need näitavad, et pärast Avasti installimist arvutisse hakkab ta andmeid koguma ja edastab need Jumpshoti, misjärel müüakse neid paljudele globaalsetele ettevõtetele nagu Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit jt. .. Mõned neist ettevõtetest maksavad miljoneid dollareid, et saada andmeid iga teie tehtud kliki kohta, mis võimaldab neil teie veebikäitumist analüüsida.
Avastil on ligikaudu 435 miljonit kasutajat ja 100 miljonit seadet. Nad kõik sõlmisid andmete kogumiseks kasutajalepingu, kuid mõned kasutajad ütlesid Motherboardile ja PCMagile, et nad ei tea, milliseid andmeid kogutakse või et neid üldse kogutakse. Tekib küsimus, kui hästi olid kasutajad informeeritud?
Millistest andmetest me räägime? Teave Google’i otsingute, veebisaidil navigeerimise, Google Mapsi GPS – koordinaatide, LinkedIni, YouTube’i ja pornosaitide külastuste kohta. Kuigi need andmed ei sisalda ühtegi nime, saab kasutajaid nende põhjal hõlpsasti tuvastada.
Jumpshot väitis juulis, et avaldas andmed, et anda turundajatele veebiturust sügavam arusaam. Jumpshot on varem avalikult loetlenud mõned oma kliendid nagu Expedia, IBM, Intuit, TurboTax, Loreal ja Home Depot. Töötajatel soovitati Jumpshoti suhetest nende ettevõtetega avalikult mitte rääkida.
Kuni viimase ajani kogus Avast andmeid brauseri laienduse abil, mis loodi pahatahtlikele veebisaitidele juurdepääsu piiramiseks. Küberturvalisuse uurija ja AdBlock Plusi looja Vladimir Palant avaldas selle kohta blogipostituse . Veidi hiljem eemaldasid Mozilla, Opera ja Google Chrome selle laienduse oma brauserist. Avast selgitas seda andmete kogumist ja jagamist varem ajaveebis ja foorumis 2015. aastal. Sellest ajast alates on Avast lubanud lõpetada nende laienduste kogutud sirvimisandmete saatmise Jumpshotile, ütles Avast emaplaadile ja PCMagile tehtud avalduses.
Andmete kogumine aga jätkus. Kui varem tegi Avast seda brauseri laienduse kaudu, siis nüüd on see hakanud seda tegema oma viirusetõrje kaudu
Emaplaat ja PCMag võtsid ühendust enam kui kahe tosina sisedokumentides mainitud ettevõttega. Vähesed vastasid küsimustele, mida nad Avasti kasutajate otsinguajaloos põhinevate andmetega teevad.
„Mõnikord kasutame oma äri, toodete ja teenuste täiustamiseks kolmandatest osapooltest tarnijate teavet. Nõuame, et nendel pakkujatel oleks vastavad õigused selle teabe meiega jagamiseks. Sel juhul saame anonüümseid kasutajaandmeid, mida ei saa kasutada üksikute klientide tuvastamiseks,” kirjutas Home Depot pressiesindaja meili teel.
Microsoft keeldus kommenteerimast üksikasju, miks ta Jumpshotilt andmeid ostis, kuid ütles, et tal pole praegu ettevõttega mingit seost. Southwest Airlines teatas, et on arutanud võimalust teha koostööd Jumpshotiga, kuid ettevõtted ei jõudnud kokkuleppele. IBM ütles, et see pole klient, ja Altria ütles, et see ei töötanud ka Jumpshotiga, kuigi ta ei täpsustanud, kas see on varem töötanud. Sephora on teatanud, et see Jumpshotiga ei tööta. Google ei vastanud kunagi taotlusele.
Jumpshot nimetab oma veebisaidil ja pressiteadetes klientidena Pepsit ning konsultatsioonihiiglasi Bain & Company ja McKinsey. Selles on ka mõned näited veebisirvimise ajaloo andmete kasutamisest. Kirjastaja ja digitaalmeedia hiiglane Condé Nast kasutas näiteks Jumpshoti tooteid, et näha, kas ettevõtte reklaamid suurendasid müüki Amazonis ja mujal.
Kõik klõpsake Feed
See pole veel kõik, oli veel üks Jumpshoti toode nimega All Click Feed. See võimaldab teil osta teavet kõigi klikkide kohta, mille Jumpshot registreeris kindlal domeenil, näiteks Amazon.com, Walmart.com, Target.com, BestBuy.com või Ebay.com.
Kiirtõmmisandmed võivad näidata, kuidas keegi, kelle arvutisse oli installitud Avast, otsis Google’ist toodet, klõpsas Amazoni lingil ja võib-olla lisas kauba enne ostu sooritamist mõnel muul veebisaidil ostukorvi.
Jumpshoti lepingu koopia kohaselt on üks All Clicks Feedi ostnud ettevõtetest New Yorgis asuv turundusettevõte Omnicom Media Group . Jumpshot andis Omnicomile juurdepääsu kõikidele kasutajate klikkidele 14 erinevas riigis, sealhulgas USA-s, Inglismaal, Kanadas, Austraalias ja Uus-Meremaal. Lepingus öeldakse, et andmed hõlmasid ka kasutajate hinnangulist sugu, hinnangulist vanust ja "täielikku URL-i stringi", kuid isikuandmed olid eemaldatud.
Vastavalt Omnicomiga sõlmitud lepingule räsitakse iga kasutaja "seadme ID", mis tähendab, et andmeid ostnud ettevõte ei pea suutma tuvastada, kes täpselt iga vaate taga on. Selle asemel peaksid Jumpshoti tooted aitama ettevõtetel välja selgitada, millised tooted on eriti populaarsed või kui tõhus on nende reklaamikampaania.
Kuid kiirpildi andmed ei pruugi olla täiesti anonüümsed. Tootesiseses juhendis on kirjas, et seadmete ID-d kasutaja kohta ei muutu, välja arvatud juhul, kui kasutaja turbetarkvara täielikult desinstalli ja uuesti installib. Arvukad artiklid ja akadeemilised uuringud on näidanud, kuidas väidetavalt anonüümsete andmete põhjal saab teada inimese identiteeti. Seda kinnitasid 2006 aastal New York Timesi ajakirjanikud ja 2017. aastal Stanfordi ülikooli teadlased .
Deanonüümiseerimine muutub palju suuremaks probleemiks, kui arvestada, et Jumpshoti andmete lõppkasutajad saavad seda kombineerida oma andmetega.
"Enamik deanonüümiseerimisega kaasnevatest ohtudest tuleneb võimalusest ühendada teavet muude andmetega."
Milisekundi täpsusega ajatempel võib võimaldada ettevõttel, kellel on oma kliendiandmebaas, näha, kuidas üks kasutaja külastab oma saiti ja seejärel jälgida neid teiste saitide kaudu, kasutades Jumpshot.
"Andmeid on peaaegu võimatu depersonaliseerida," ütles Santa Clara ülikooli õigusteaduskonna professor Eric Goldman.
Motherboardi ja PCMagi ajakirjanikud esitasid Avastile rea üksikasjalikke küsimusi selle kohta, kuidas see kasutajate anonüümsust kaitseb, samuti mõnede ettevõtte lepingute üksikasju. Avast ei vastanud enamikule küsimustele, kuid kirjutas avalduses: "Oma lähenemisviisi abil tagame, et Jumpshot ei saaks meie populaarset tasuta viirusetõrjetarkvara kasutavatelt inimestelt tuvastavat teavet, sealhulgas nime, e-posti aadresse ega kontaktandmeid."
"Meil on laialdased kogemused kasutajate seadmete ja andmete kaitsmisel pahavara eest ning mõistame ja võtame tõsiselt vastutust tasakaalustada kasutajate privaatsus ja vajalik andmete kasutamine," seisis avalduses.
Ettevõte teatas ka, et järgib kogu oma kasutajaskonna osas California tarbijate privaatsusseadust (CCPA) ja Euroopa andmekaitsemäärust (GDPR).
Kui PCMagi redaktor esimest korda Avast viirusetõrjetoote installis, küsis programm tegelikult, kas nad soovivad andmete kogumises osaleda.
„Kui annate loa, anname oma tütarettevõttele Jumpshot Inc. teie sirvimisajaloost saadud tuvastamata andmete kogumine, et Jumpshot saaks analüüsida turge ja ärisuundumusi ning koguda muud väärtuslikku teavet", hüpikaken ei öelnud aga midagi selle kohta, kuidas Jumpshot neid andmeid seejärel kasutab.
UPD: Avast ametlik vastus
"Avast sulges Jumpshoti 2020. aasta jaanuaris, lõpetades sellega andmeedastused. Meie eesmärk on muuta Internet turvalisemaks ja kaitsta inimeste isikuandmeid. Seega võtsime 2020. aastal samme andmekaitse parandamiseks, palkades privaatsusjuhi, kes jätkab meie andmekaitsestrateegia juhti ja jagab kogemusi selliste organisatsioonidega nagu TOR ja Future of Privacy Forum. Meie privaatsuspoliitika on TRUSTe poolt sertifitseeritud. Tulevikus jätkame samme, et tagada kasutajate privaatsus.
Vice’i ja PCMagi loal Kaanepilt
: Monika Kovacs