...
Life hacks, användbara tips, rekommendationer. Artiklar för män och kvinnor. Vi skriver om teknik, och om allt som är intressant.
BerättelserDatorer

Hemliga marknaden Avast. Hur antivirus säljer din webbhistorik

2

Ett dotterbolag till antivirusutvecklaren Avast sålde varje sökord. Varje klick. varje köp. från varje sida. Bland hans kunder fanns Google, Microsoft, Pepsi och andra.

Det här avsnittet ägde rum för ett år sedan. Efter en utredning uppgav Avast att de skulle sluta samla in data för Jumpshot och stoppa alla transaktioner med det som en brådskande fråga. Vi har översatt denna spännande berättelse i sin helhet och inbjuder dig att läsa och dra dina egna slutsatser.

Avast antivirus används av miljontals människor runt om i världen och säljer känslig data om sina användare till stora företag, enligt en gemensam undersökning av Motherboard och PCMag . Läckta interna dokument bevisar handel med mycket känslig data, inklusive användarnas webbläsarhistorik.

Dokument från ett Avast – dotterbolag som heter Jumpshot kastar ljus över den hemliga handeln och leveranskedjorna av användarnas webbläsarhistorik. De visar att han efter att ha installerat Avast på sin dator börjar samla in data och överför den till Jumpshot, varefter de säljs till många globala företag som Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit och andra … Vissa av dessa företag betalar miljontals dollar för att få information om varje klick du gör, vilket gör att de kan analysera ditt beteende online.

Avast har en användarbas cirka 435 miljoner användare och 100 miljoner enheter. De skrev alla på ett användaravtal för att samla in data, men några av användarna sa till Motherboard och PCMag att de inte visste vilken data som samlades in, eller att den överhuvudtaget samlades in. Frågan uppstår, hur välinformerade var användarna?

Vilken typ av data pratar vi om? Om Google -sökningar, webbnavigering, GPS- koordinater från Google Maps, besök på LinkedIn, YouTube och porrsajter. Även om denna data inte innehåller några namn, kan användare lätt identifieras utifrån dem.

Jumpshot hävdade i juli att det avslöjade data för att ge marknadsförare en djupare förståelse för onlinemarknaden. Jumpshot har tidigare offentligt listat några av sina kunder som Expedia, IBM, Intuit, TurboTax, Loreal och Home Depot. Anställda uppmanades att inte tala offentligt om Jumpshots relation till dessa företag.

Tills nyligen samlade Avast in data med ett webbläsartillägg som skapades för att begränsa åtkomsten till skadliga webbplatser. Cybersäkerhetsforskare och skapare av AdBlock Plus, Vladimir Palant, publicerade ett blogginlägg om detta. Lite senare tog Mozilla, Opera och Google Chrome bort detta tillägg från sina webbläsare. Avast har tidigare förklarat denna datainsamling och delning i en blogg och ett forum 2015. Sedan dess har Avast lovat att sluta skicka webbläsardata som samlats in av dessa tillägg till Jumpshot, sa Avast i ett uttalande till Motherboard och PCMag.

Datainsamlingen fortsatte dock. Om Avast brukade göra detta genom ett webbläsartillägg, har det nu börjat göra det genom sitt antivirusprogram

Hemliga marknaden Avast. Hur antivirus säljer din webbhistorik

Moderkort och PCMag kontaktade mer än två dussin företag som nämns i interna dokument. Få svarade på frågor om vad de gör med data baserat på Avast-användares sökhistorik.

"Ibland använder vi information från tredjepartsleverantörer för att förbättra vår verksamhet, våra produkter och tjänster. Vi kräver att dessa leverantörer har lämpliga rättigheter att dela denna information med oss. I det här fallet får vi anonym användardata som inte kan användas för att identifiera enskilda kunder", skrev en talesperson för Home Depot i ett uttalande via e-post.

Microsoft avböjde att kommentera detaljerna kring varför det köpte data från Jumpshot, men sa att det för närvarande inte har någon relation med företaget. Southwest Airlines sa att de hade diskuterat möjligheten att arbeta med Jumpshot, men företagen nådde inte en överenskommelse. IBM sa att det inte var en kund, och Altria sa att det inte fungerade med Jumpshot heller, även om det inte angav om det hade gjort det tidigare. Sephora har uppgett att det inte fungerar med Jumpshot. Google svarade aldrig på begäran.

På sin hemsida och i pressmeddelanden namnger Jumpshot Pepsi och konsultjättarna Bain & Company och McKinsey som kunder. Den listar också några exempel på användningen av webbhistorikdata. Förläggaren och digitala mediejätten Condé Nast använde till exempel Jumpshots produkter för att se om företagets annonsering resulterade i mer försäljning på Amazon och på andra håll.

All Click Feed

Det är inte allt, det fanns en annan Jumpshot-produkt som heter All Click Feed. Det låter dig köpa information om alla klick som Jumpshot registrerade på en specifik domän, som Amazon.com, Walmart.com, Target.com, BestBuy.com eller Ebay.com.

Jumpshot-data kan visa hur någon med Avast installerat på sin dator sökte efter en produkt på Google, klickade på en länk till Amazon och eventuellt lade till varan i sin kundvagn på någon annan webbplats innan han gjorde ett köp.

Enligt en kopia av Jumpshot-kontraktet är ett av företagen som köpte All Clicks Feed det New York-baserade marknadsföringsföretaget Omnicom Media Group . Jumpshot gav Omnicom tillgång till alla klick från användare i 14 olika länder, inklusive USA, England, Kanada, Australien och Nya Zeeland. Uppgifterna inkluderade också användarnas beräknade kön, deras beräknade ålder och en "full URL-sträng", men med personlig information borttagen, säger kontraktet.

Enligt avtalet med Omnicom hashas varje användares "enhets-ID", vilket innebär att företaget som köper data inte behöver kunna identifiera vem som ligger bakom varje vy. Istället bör Jumpshot-produkter hjälpa företag att ta reda på vilka produkter som är särskilt populära eller hur effektiv deras reklamkampanj är.

Men Jumpshot-data kanske inte är helt anonyma. Den interna produktguiden anger att enhets-ID:n inte ändras per användare om inte användaren helt avinstallerar och installerar om säkerhetsprogramvaran. Flera artiklar och akademiska studier har visat hur en persons identitet kan kännas till med hjälp av förment anonyma uppgifter. Detta bekräftades av New York Times reportrar 2006 och av forskare från Stanford University 2017.

Deanonymisering blir ett mycket större problem när man tänker på att slutanvändarna av Jumpshot-data kan kombinera det med sin egen data.

"De flesta av de hot som deanonymisering utgör kommer från förmågan att kombinera information med annan data."

En millisekund -exakt tidsstämpel kan tillåta ett företag med sin egen kunddatabas att se en användare besöka sin egen webbplats och sedan följa dem genom andra webbplatser med hjälp av Jumpshot.

"Det är nästan omöjligt att avpersonifiera uppgifterna", säger Eric Goldman, professor vid Santa Clara University School of Law.

Journalister från Motherboard och PCMag ställde Avast en rad detaljerade frågor om hur det skyddar användarens anonymitet, samt detaljer om några av företagets kontrakt. Avast svarade inte på de flesta frågor, men skrev i ett uttalande: "Genom vår strategi säkerställer vi att Jumpshot inte får någon identifierande information, inklusive namn, e-postadresser eller kontaktuppgifter, från personer som använder vårt populära gratis antivirusprogram."

"Vi har lång erfarenhet av att skydda användares enheter och data från skadlig programvara, och vi förstår och tar på allvar ansvaret för att balansera användarnas integritet med den nödvändiga användningen av data", heter det i uttalandet.

Företaget sa också att det följer California Consumer Privacy Act (CCPA) och den europeiska dataskyddsförordningen (GDPR) för hela sin användarbas.

När PCMag-redigeraren först installerade antivirusprodukten Avast frågade programmet faktiskt om de ville ta del av datainsamlingen.

"Om du ger tillstånd kommer vi att ge vårt dotterbolag Jumpshot Inc. insamling av avidentifierad data som erhållits från din webbhistorik för att tillåta Jumpshot att analysera marknader och affärstrender och samla in annan värdefull information”, men popup-fönstret sa inget om hur Jumpshot sedan använder denna data.

UPD: Officiellt svar från Avast

"Avast stängde av Jumpshot i januari 2020 och avslutade därmed dataöverföringar. Vårt mål är att göra Internet säkrare och skydda människors personliga information. Så under 2020 tog vi steg för att förbättra dataskyddet och anställde en Chief Privacy Officer som fortsätter att driva vår dataskyddsstrategi och dela erfarenheter med organisationer som TOR och Future of Privacy Forum. Vår integritetspolicy har certifierats av TRUSTe. I framtiden kommer vi att fortsätta att vidta åtgärder för att säkerställa användarnas integritet.”

Med tillstånd av Vice och PCMag Omslagsbild
: Monika Kovacs

Du kanske också gillar Mer från författaren

Denna webbplats använder cookies för att förbättra din upplevelse. Vi antar att du är ok med detta, men du kan välja bort det om du vill. Jag accepterar Fler detaljer