Spółka zależna producenta oprogramowania antywirusowego Avast sprzedawała wszystkie wyszukiwane hasła. Każde kliknięcie. każdy zakup. z każdego serwisu. Wśród jego klientów byli Google, Microsoft, Pepsi i inni.
Ten epizod miał miejsce rok temu. Po przeprowadzeniu dochodzenia firma Avast oświadczyła, że w trybie pilnym przestanie gromadzić dane dotyczące usługi Jumpshot i wszystkie transakcje z nią przeprowadzane. Przetłumaczyliśmy tę ekscytującą historię w całości i zapraszamy do przeczytania i wyciągnięcia własnych wniosków.
Używany przez miliony ludzi na całym świecie program antywirusowy Avast sprzedaje poufne dane swoich użytkowników dużym firmom, jak wykazało wspólne dochodzenie przeprowadzone przez Motherboard i PCMag . Dokumenty wewnętrzne, które wyciekły, dowodzą handlu bardzo wrażliwymi danymi, w tym historią przeglądania użytkowników.
Dokumenty firmy zależnej Avast o nazwie Jumpshot rzucają światło na tajny handel i łańcuchy dostaw historii przeglądania użytkowników. Wynika z nich, że po zainstalowaniu Avasta na swoim komputerze zaczyna zbierać dane i przesyła je do Jumpshota, po czym są one sprzedawane wielu światowym firmom takim jak Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit i innym. . Niektóre z tych firm płacą miliony dolarów za otrzymywanie danych o każdym Twoim kliknięciu, co pozwala im analizować Twoje zachowanie w Internecie.
Avast ma bazę około 435 milionów użytkowników i 100 milionów urządzeń. Wszyscy podpisali umowę użytkownika na gromadzenie danych, ale niektórzy użytkownicy powiedzieli Motherboard i PCMag, że nie wiedzieli, jakie dane są gromadzone lub że w ogóle są gromadzone. Powstaje pytanie, jak dobrze poinformowani byli użytkownicy?
O jakich danych mówimy? O wyszukiwaniu w Google, nawigacji w witrynie, współrzędnych GPS z Map Google, wizytach na LinkedIn, YouTube i stronach pornograficznych. Chociaż dane te nie zawierają żadnych nazw, na ich podstawie można łatwo zidentyfikować użytkowników.
Jumpshot twierdził w lipcu, że ujawnia dane, aby dać marketerom głębsze zrozumienie rynku online. Jumpshot wcześniej publicznie wymieniał niektórych swoich klientów, takich jak Expedia, IBM, Intuit, TurboTax, Loreal i Home Depot. Pracownikom zalecono, aby nie wypowiadali się publicznie na temat relacji Jumpshot z tymi firmami.
Do niedawna Avast zbierał dane za pomocą rozszerzenia przeglądarki, które zostało stworzone w celu ograniczenia dostępu do złośliwych stron internetowych. Badacz cyberbezpieczeństwa i twórca AdBlock Plus, Vladimir Palant, opublikował post na ten temat na blogu. Nieco później Mozilla, Opera i Google Chrome usunęły to rozszerzenie ze swoich przeglądarek. Avast wcześniej wyjaśnił to gromadzenie i udostępnianie danych na blogu i forum w 2015 roku. Od tego czasu Avast obiecał zaprzestać wysyłania danych przeglądania zebranych przez te rozszerzenia do Jumpshot, powiedział Avast w oświadczeniu dla Motherboard i PCMag.
Jednak zbieranie danych było kontynuowane. Jeśli Avast robił to za pomocą rozszerzenia przeglądarki, teraz zaczął to robić za pomocą swojego programu antywirusowego
Motherboard i PCMag skontaktowały się z ponad dwudziestoma firmami wymienionymi w dokumentach wewnętrznych. Niewielu odpowiedziało na pytania dotyczące tego, co robią z danymi opartymi na historii wyszukiwania użytkowników Avast.
„Czasami wykorzystujemy informacje od zewnętrznych dostawców, aby ulepszyć naszą działalność, produkty i usługi. Wymagamy, aby ci dostawcy mieli odpowiednie prawa do udostępniania nam tych informacji. W takim przypadku otrzymujemy anonimowe dane użytkownika, których nie można wykorzystać do identyfikacji poszczególnych klientów" – napisał rzecznik Home Depot w e-mailowym oświadczeniu.
Microsoft odmówił komentarza na temat szczegółów, dlaczego kupił dane od Jumpshot, ale powiedział, że obecnie nie ma żadnych relacji z firmą. Linie lotnicze Southwest Airlines powiedziały, że rozmawiały o możliwości współpracy z Jumpshot, ale firmy nie osiągnęły porozumienia. IBM powiedział, że to nie był klient, a Altria powiedział, że nie działa również z Jumpshot, chociaż nie określił, czy wcześniej. Sephora stwierdziła, że nie współpracuje z Jumpshot. Google nigdy nie odpowiedział na prośbę.
Na swojej stronie internetowej i w komunikatach prasowych Jumpshot wymienia Pepsi i gigantów konsultingowych Bain & Company i McKinsey jako swoich klientów. Zawiera również kilka przykładów wykorzystania danych historii przeglądania sieci. Na przykład wydawca i gigant mediów cyfrowych, Condé Nast, wykorzystał produkty firmy Jumpshot, aby sprawdzić, czy reklama firmy przełożyła się na większą sprzedaż w Amazon i innych miejscach.
Kanał wszystkich kliknięć
To nie wszystko, był jeszcze jeden produkt Jumpshot o nazwie All Click Feed. Umożliwia kupowanie informacji o wszystkich kliknięciach zarejestrowanych przez Jumpshot w określonej domenie, takiej jak Amazon.com, Walmart.com, Target.com, BestBuy.com lub Ebay.com.
Dane Jumpshot mogą pokazywać, w jaki sposób ktoś z zainstalowanym programem Avast na swoim komputerze wyszukiwał produkt w Google, klikał łącze do Amazon, a następnie prawdopodobnie dodawał przedmiot do koszyka w innej witrynie przed dokonaniem zakupu.
Zgodnie z kopią umowy Jumpshot, jedną z firm, które kupiły All Clicks Feed, jest nowojorska firma marketingowa Omnicom Media Group . Jumpshot dał Omnicom dostęp do wszystkich kliknięć od użytkowników z 14 różnych krajów, w tym ze Stanów Zjednoczonych, Anglii, Kanady, Australii i Nowej Zelandii. Dane obejmowały również szacunkową płeć użytkowników, ich szacowany wiek oraz „pełny ciąg adresu URL”, ale z usuniętymi danymi osobowymi, mówi umowa.
Zgodnie z umową z Omnicom, „identyfikator urządzenia” każdego użytkownika jest zahaszowany, co oznacza, że firma kupująca dane nie musi być w stanie zidentyfikować, kto dokładnie stoi za każdym widokiem. Zamiast tego produkty Jumpshot powinny pomóc firmom dowiedzieć się, które produkty są szczególnie popularne lub jak skuteczna jest ich kampania reklamowa.
Ale dane Jumpshot mogą nie być całkowicie anonimowe. Wewnętrzny przewodnik po produkcie stwierdza, że identyfikatory urządzeń nie zmieniają się w zależności od użytkownika, chyba że użytkownik całkowicie odinstaluje i ponownie zainstaluje oprogramowanie zabezpieczające. Liczne artykuły i badania naukowe wykazały, w jaki sposób można poznać tożsamość osoby przy użyciu rzekomo anonimowych danych. Potwierdzili to reporterzy New York Timesa w 2006 roku oraz badacze z Uniwersytetu Stanforda w 2017 roku.
Deanonimizacja staje się znacznie większym problemem, gdy weźmie się pod uwagę, że użytkownicy końcowi danych Jumpshot mogą łączyć je z własnymi danymi.
„Większość zagrożeń stwarzanych przez deanonimizację wynika z możliwości łączenia informacji z innymi danymi”.
Znacznik czasu z dokładnością do milisekundy mógłby pozwolić firmie z własną bazą danych klientów zobaczyć, jak jeden użytkownik odwiedza jej własną witrynę, a następnie śledzić go w innych witrynach za pomocą Jumpshot.
„Depersonalizacja danych jest prawie niemożliwa” — powiedział Eric Goldman, profesor na Wydziale Prawa Uniwersytetu Santa Clara.
Dziennikarze z Motherboard i PCMag zadali firmie Avast serię szczegółowych pytań dotyczących tego, w jaki sposób chroni ona anonimowość użytkowników, a także szczegóły niektórych umów firmy. Avast nie odpowiedział na większość pytań, ale napisał w oświadczeniu: „Dzięki naszemu podejściu zapewniamy, że Jumpshot nie otrzyma żadnych informacji identyfikujących, w tym imienia i nazwiska, adresu e-mail lub danych kontaktowych, od osób korzystających z naszego popularnego bezpłatnego oprogramowania antywirusowego”.
„Mamy duże doświadczenie w ochronie urządzeń i danych użytkowników przed złośliwym oprogramowaniem, rozumiemy i poważnie traktujemy odpowiedzialność za zrównoważenie prywatności użytkowników z niezbędnym wykorzystaniem danych” – czytamy w oświadczeniu.
Firma stwierdziła również, że jest zgodna z kalifornijską ustawą o ochronie prywatności konsumentów (CCPA) i europejskim rozporządzeniem o ochronie danych (RODO) dla całej bazy użytkowników.
Kiedy edytor PCMag po raz pierwszy zainstalował produkt antywirusowy Avast, program faktycznie zapytał, czy chcą wziąć udział w gromadzeniu danych.
„Jeśli wyrazisz zgodę, przyznamy naszej spółce zależnej Jumpshot Inc. gromadzenie zdezidentyfikowanych danych uzyskanych z Twojej historii przeglądania w celu umożliwienia Jumpshot analizowania rynków i trendów biznesowych oraz zbierania innych cennych informacji”, jednak wyskakujące okienko nie mówiło nic o tym, w jaki sposób Jumpshot następnie wykorzystuje te dane.
UPD: Oficjalna odpowiedź firmy Avast
„Avast zamknął Jumpshot w styczniu 2020 r., kończąc w ten sposób przesyłanie danych. Naszym celem jest uczynienie Internetu bezpieczniejszym i ochrona danych osobowych ludzi. Dlatego w 2020 roku podjęliśmy kroki w celu poprawy ochrony danych, zatrudniając Chief Privacy Officer, który nadal kieruje naszą strategią ochrony danych i dzieli się doświadczeniami z organizacjami takimi jak TOR i Future of Privacy Forum. Nasza polityka prywatności została potwierdzona przez TRUSTe. W przyszłości będziemy nadal podejmować działania w celu zapewnienia prywatności użytkowników.”
Dzięki uprzejmości Vice i PCMag Zdjęcie na okładce
: Monika Kovacs