Geheimmarkt Avast. Wie Antivirenprogramme Ihren Browserverlauf verkaufen
Eine Tochtergesellschaft des Antiviren-Entwicklers Avast verkaufte jeden Suchbegriff. Jeder Klick. jeden Einkauf. von jeder Seite. Zu seinen Kunden gehörten Google, Microsoft, Pepsi und andere.
Diese Episode fand vor einem Jahr statt. Nach einer Untersuchung erklärte Avast, dass es das Sammeln von Daten für Jumpshot einstellen und alle Transaktionen damit dringend einstellen werde. Wir haben diese spannende Geschichte vollständig übersetzt und laden Sie ein, diese zu lesen und Ihre eigenen Schlüsse zu ziehen.
Avast Antivirus wird von Millionen von Menschen auf der ganzen Welt verwendet und verkauft sensible Daten seiner Benutzer an große Unternehmen, wie eine gemeinsame Untersuchung von Motherboard und PCMag ergab . Durchgesickerte interne Dokumente belegen den Handel mit hochsensiblen Daten, einschließlich des Browserverlaufs der Benutzer.
Dokumente einer Avast – Tochter namens Jumpshot werfen Licht auf die geheimen Handels- und Lieferketten der Browserhistorie von Benutzern. Sie zeigen, dass er nach der Installation von Avast auf seinem Computer mit dem Sammeln von Daten beginnt und diese an Jumpshot überträgt, wonach sie an viele globale Unternehmen wie Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit und andere verkauft werden. .. Einige dieser Unternehmen zahlen Millionen von Dollar, um Daten über jeden Ihrer Klicks zu erhalten, die es ihnen ermöglichen, Ihr Online-Verhalten zu analysieren.
Avast hat eine Benutzerbasis von ungefähr 435 Millionen Benutzern und 100 Millionen Geräten. Sie alle unterzeichneten eine Nutzungsvereinbarung zum Sammeln von Daten, aber einige der Benutzer teilten Motherboard und PCMag mit, dass sie nicht wüssten, welche Daten gesammelt würden oder dass sie überhaupt gesammelt würden. Es stellt sich die Frage, wie gut informiert waren die Nutzer?
Von was für Daten reden wir? Über Google -Suchen, Website-Navigation, GPS- Koordinaten von Google Maps, Besuche auf LinkedIn, YouTube und Pornoseiten. Obwohl diese Daten keine Namen enthalten, können Nutzer anhand dieser leicht identifiziert werden.
Jumpshot behauptete im Juli, dass es die Daten offenlegte, um Vermarktern ein tieferes Verständnis des Online-Marktplatzes zu vermitteln. Jumpshot hat zuvor einige seiner Kunden als Expedia, IBM, Intuit, TurboTax, Loreal und Home Depot öffentlich gelistet. Den Mitarbeitern wurde geraten, nicht öffentlich über die Beziehung zwischen Jumpshot und diesen Unternehmen zu sprechen.
Bis vor kurzem sammelte Avast Daten mithilfe einer Browsererweiterung, die erstellt wurde, um den Zugriff auf bösartige Websites einzuschränken. Der Cybersicherheitsforscher und Schöpfer von AdBlock Plus, Vladimir Palant, hat dazu einen Blogbeitrag veröffentlicht . Wenig später entfernten Mozilla, Opera und Google Chrome diese Erweiterung aus ihren Browsern. Avast hat diese Datenerhebung und -weitergabe bereits 2015 in einem Blog und Forum erklärt. Seitdem hat Avast versprochen, die von diesen Erweiterungen gesammelten Browserdaten nicht mehr an Jumpshot zu senden, sagte Avast in einer Erklärung gegenüber Motherboard und PCMag.
Die Datenerhebung wurde jedoch fortgesetzt. Wenn Avast dies früher über eine Browsererweiterung getan hat, hat es jetzt damit begonnen, dies über sein Antivirenprogramm zu tun
Motherboard und PCMag kontaktierten mehr als zwei Dutzend Unternehmen, die in internen Dokumenten erwähnt wurden. Nur wenige beantworteten Fragen dazu, was sie mit Daten tun, die auf dem Suchverlauf von Avast-Benutzern basieren.
„Manchmal verwenden wir Informationen von Drittanbietern, um unser Geschäft, unsere Produkte und Dienstleistungen zu verbessern. Wir verlangen, dass diese Anbieter über die entsprechenden Rechte verfügen, um diese Informationen mit uns zu teilen. In diesem Fall erhalten wir anonyme Benutzerdaten, die nicht zur Identifizierung einzelner Kunden verwendet werden können”, schrieb ein Home Depot-Sprecher in einer per E-Mail gesendeten Erklärung.
Microsoft lehnte es ab, sich zu den Einzelheiten zu äußern, warum es Daten von Jumpshot gekauft hat, sagte jedoch, dass es derzeit keine Beziehung zu dem Unternehmen hat. Southwest Airlines sagte, es habe die Möglichkeit einer Zusammenarbeit mit Jumpshot diskutiert, aber die Unternehmen hätten keine Einigung erzielt. IBM sagte, es sei kein Kunde, und Altria sagte, es habe auch nicht mit Jumpshot funktioniert, obwohl es nicht angegeben hat, ob es zuvor funktioniert hat. Sephora hat angegeben, dass es mit Jumpshot nicht funktioniert. Google hat nie auf die Anfrage geantwortet.
Auf seiner Website und in Pressemitteilungen nennt Jumpshot Pepsi und die Beratungsgiganten Bain & Company und McKinsey als Kunden. Es listet auch einige Beispiele für die Verwendung von Verlaufsdaten des Webbrowsers auf. Der Verlag und digitale Medienriese Condé Nast beispielsweise nutzte die Produkte von Jumpshot, um zu sehen, ob die Werbung des Unternehmens zu mehr Verkäufen auf Amazon und anderswo führte.
Alle Klick-Feed
Das ist noch nicht alles, es gab ein weiteres Jumpshot-Produkt namens All Click Feed. Es ermöglicht Ihnen, Informationen über alle Klicks zu kaufen, die Jumpshot auf einer bestimmten Domain wie Amazon.com, Walmart.com, Target.com, BestBuy.com oder Ebay.com registriert hat.
Jumpshot-Daten könnten zeigen, wie jemand, auf dessen Computer Avast installiert ist, bei Google nach einem Produkt gesucht, auf einen Link zu Amazon geklickt und den Artikel dann möglicherweise auf einer anderen Website in seinen Einkaufswagen gelegt hat, bevor er einen Kauf getätigt hat.
Laut einer Kopie des Jumpshot-Vertrags ist eines der Unternehmen, das All Clicks Feed gekauft hat, die in New York ansässige Marketingfirma Omnicom Media Group . Jumpshot gewährte Omnicom Zugriff auf alle Klicks von Benutzern in 14 verschiedenen Ländern, darunter die USA, England, Kanada, Australien und Neuseeland. Die Daten enthielten auch das geschätzte Geschlecht der Benutzer, ihr geschätztes Alter und eine „vollständige URL-Zeichenfolge”, aber ohne persönliche Informationen, heißt es im Vertrag.
Gemäß dem Vertrag mit Omnicom wird die „Geräte-ID” jedes Benutzers gehasht, was bedeutet, dass das Unternehmen, das die Daten kauft, nicht in der Lage sein muss, zu identifizieren, wer genau hinter jedem Aufruf steckt. Stattdessen sollen Jumpshot-Produkte Unternehmen dabei unterstützen, herauszufinden, welche Produkte besonders beliebt sind oder wie effektiv ihre Werbekampagne ist.
Aber Jumpshot-Daten sind möglicherweise nicht vollständig anonym. Der interne Produktleitfaden gibt an, dass sich die Geräte-IDs pro Benutzer nicht ändern, es sei denn, der Benutzer deinstalliert die Sicherheitssoftware vollständig und installiert sie neu. Zahlreiche Artikel und wissenschaftliche Studien haben gezeigt, wie die Identität einer Person anhand vermeintlich anonymer Daten bekannt werden kann. Dies wurde 2006 von Reportern der New York Times und 2017 von Forschern der Stanford University bestätigt .
Die Deanonymisierung wird zu einem viel größeren Problem, wenn man bedenkt, dass die Endnutzer von Jumpshot-Daten diese mit ihren eigenen Daten kombinieren können.
„Die meisten Bedrohungen durch Deanonymisierung gehen von der Möglichkeit aus, Informationen mit anderen Daten zu kombinieren .”
Ein Millisekunden -genauer Zeitstempel könnte es einem Unternehmen mit seiner eigenen Kundendatenbank ermöglichen, einen Benutzer zu sehen, der seine eigene Website besucht, und ihm dann mit Jumpshot durch andere Websites zu folgen.
„Es ist fast unmöglich, die Daten zu entpersonalisieren”, sagte Eric Goldman, Professor an der juristischen Fakultät der Santa Clara University.
Journalisten von Motherboard und PCMag stellten Avast eine Reihe detaillierter Fragen darüber, wie es die Anonymität der Benutzer schützt, sowie Einzelheiten zu einigen Verträgen des Unternehmens. Avast antwortete auf die meisten Fragen nicht, schrieb aber in einer Erklärung: „Durch unseren Ansatz stellen wir sicher, dass Jumpshot keine identifizierenden Informationen, einschließlich Namen, E-Mail-Adressen oder Kontaktdaten, von Personen erhält, die unsere beliebte kostenlose Antivirensoftware verwenden.”
„Wir verfügen über umfangreiche Erfahrung beim Schutz der Geräte und Daten von Benutzern vor Malware, und wir verstehen und nehmen die Verantwortung ernst, die Privatsphäre der Benutzer mit der notwendigen Verwendung von Daten in Einklang zu bringen”, heißt es in der Erklärung.
Das Unternehmen sagte auch, dass es den California Consumer Privacy Act (CCPA) und die Europäische Datenschutzverordnung (DSGVO) für seine gesamte Benutzerbasis einhält.
Als der PCMag-Redakteur das Avast-Antivirenprodukt zum ersten Mal installierte, fragte das Programm tatsächlich, ob sie an der Datenerfassung teilnehmen wollten.
„Wenn Sie die Erlaubnis erteilen, gewähren wir unserer Tochtergesellschaft Jumpshot Inc. Sammlung anonymisierter Daten aus Ihrem Browserverlauf, damit Jumpshot Märkte und Geschäftstrends analysieren und andere wertvolle Informationen sammeln kann”, das Popup-Fenster sagte jedoch nichts darüber aus, wie Jumpshot diese Daten dann verwendet.
UPD: Offizielle Antwort von Avast
„Avast hat Jumpshot im Januar 2020 heruntergefahren und damit die Datenübertragung beendet. Unser Ziel ist es, das Internet sicherer zu machen und die persönlichen Daten der Menschen zu schützen. Deshalb haben wir 2020 Schritte unternommen, um den Datenschutz zu verbessern, und einen Chief Privacy Officer eingestellt, der unsere Datenschutzstrategie weiter vorantreibt und Erfahrungen mit Organisationen wie TOR und dem Future of Privacy Forum austauscht. Unsere Datenschutzerklärung wurde von TRUSTe zertifiziert. Auch in Zukunft werden wir Maßnahmen ergreifen, um die Privatsphäre der Benutzer zu gewährleisten.”
Mit freundlicher Genehmigung von Vice und PCMag Titelbild
: Monika Kovacs