Таємний ринок Avast. Як антивіруси продають вашу історію браузера
Дочірня компанія розробника антивірусу Avast продавала кожен пошуковий запит. Кожне натискання. кожну покупку. З кожного сайту. Серед його клієнтів були Google, Microsoft, Pepsi та інші.
Цей епізод стався рік тому. Після розслідування компанія Avast заявила, що зупинить збір даних для компанії Jumpshot і припинить усі операції з нею в невідкладному порядку. Ми переклали цю захоплюючу історію цілком і пропонуємо вам прочитати та зробити висновки.
Як показало спільне розслідування Motherboard та PCMag, антивірус Avast, який використовується мільйонами людей по всьому світу, продає конфіденційні дані своїх користувачів великим компаніям. Відплив внутрішніх документів доводить торгівлю суворо конфіденційними даними, включаючи історію браузерів користувачів.
Документи від дочірньої компанії Avast під назвою Jumpshot проливають світло на секретну торгівлю та ланцюжки поставок історій браузерів користувачів. Вони показують, що після встановлення Avast на свій комп’ютер, він починає збір даних і передає їх компанії Jumpshot, після чого вони продаються багатьом світовим компаніям таким, як Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit та іншим. Деякі з цих компаній платять мільйони доларів, щоб отримувати дані про кожне ваше натискання, що дозволяє їм аналізувати вашу поведінку в мережі.
Користувальницька база Avast складає близько 435 мільйонів користувачів та 100 мільйонів пристроїв. Всі вони підписали користувальницьку угоду, яка передбачає збір даних, але деякі з користувачів повідомили Motherboard і PCMag, що не знали які саме дані збираються або що вони взагалі збираються. Виникає питання, наскільки добре було поінформовано користувачів?
Про які саме дані йдеться? Про пошукові запити в Google, переходи між веб сайтами, GPS координати з Google Maps, відвідування LinkedIn, YouTube та порно сайтів. Хоча ці дані не містять жодних імен, але на їх основі можна легко ідентифікувати користувачів.
У липні компанія Jumpshot стверджувала, що розкриває дані, щоб маркетологи мали глибше уявлення про ринок в Інтернеті. Jumpshot раніше публічно згадувала деяких зі своїх клієнтів, як Expedia, IBM, Intuit, TurboTax, Loreal та Home Depot. Співробітникам рекомендували не говорити публічно про стосунки Jumpshot із цими компаніями.
Донедавна Avast вибирав дані за допомогою розширення браузера, яке було створено для того, щоб обмежувати доступ до шкідливих веб-сайтів. Дослідник з кібербезпеки та творець AdBlock Plus Володимир Палант опублікував про це пост у своєму блозі. А трохи пізніше Mozilla, Opera та Google Chrome видалили це розширення зі своїх браузерів. Раніше Avast вже пояснював цей збір даних та обмін ними у блозі та на форумі у 2015 році. З того часу Avast пообіцяв припинити надсилати дані перегляду, зібрані цими розширеннями, в Jumpshot, йдеться у заяві Avast для Motherboard та PCMag.
Однак, збір даних все ж таки продовжився. Якщо раніше Avast робив це через розширення браузера, то тепер він став це робити через свій антивірус
Видання Motherboard і PCMag зв’язалися з більш як двома десятками компаній, згаданих у внутрішніх документах. Лише деякі відповіли на питання про те, що вони роблять з даними, заснованими на історії пошуку користувачів Avast.
“Іноді ми використовуємо інформацію від сторонніх постачальників, щоб покращити наш бізнес, продукти та послуги. Ми вимагаємо, щоб ці постачальники мали відповідні права на передачу цієї інформації. У цьому випадку ми отримуємо анонімні дані про користувачів, які не можна використовувати для ідентифікації окремих клієнтів", – написав представник Home Depot у заяві електронною поштою.
Microsoft відмовилася коментувати особливості того, чому вона набувала даних у Jumpshot, але заявила, що зараз вона не має стосунків із цією компанією. Southwest Airlines заявила, що обговорювала можливість роботи з Jumpshot, але компанії не дійшли згоди. IBM заявила, що не була клієнтом, а Altria заявила, що також не працює з Jumpshot, хоча не уточнила, чи працювала раніше. Sephora заявила, що не працює із Jumpshot. Компанія Google так і не відповіла на запит.
На своєму веб-сайті та в прес-релізах Jumpshot називає клієнтами Pepsi та консалтингових гігантів Bain & Company та McKinsey. Там також наведено деякі приклади використання даних про історію перегляду веб-сторінок. Видавництво та цифровий медіа-гігант Condé Nast, наприклад, використовував продукти Jumpshot, щоб побачити, чи реклама компанії призводить до збільшення продажів на Amazon та в інших місцях.
Усі канали кліків
Це не все, був ще один продукт Jumpshot під назвою All Click Feed. Він дозволяє купувати інформацію про всі кліки, які Jumpshot реєстрував у певному домені, наприклад Amazon.com, Walmart.com, Target.com, BestBuy.com або Ebay.com.
Дані Jumpshot можуть показати, як хтось із встановленим на комп’ютері антивірусом Avast шукав продукт у Google, переходив за посиланням, що веде на Amazon, потім, можливо, додавав товар кошик на якомусь іншому веб-сайті, перш ніж зробити покупку.
Згідно з копією контракту з Jumpshot, однією з компаній, що купили All Clicks Feed, є маркетингова фірма Omnicom Media Group з Нью-Йорка. Jumpshot надав Omnicom доступ до всіх кліків користувачів з 14 різних країн світу, включаючи США, Англію, Канаду, Австралію та Нову Зеландію. Дані також включали гадану стать користувачів, їх ймовірний вік і «повний рядок URL-адреси», але з віддаленою особистою інформацією, заявляється в контракті.
Згідно з контрактом з Omnicom, «ідентифікатор пристрою» кожного користувача хешується, а це означає, що компанія, яка купує дані, не повинна мати можливість ідентифікувати, хто саме стоїть за кожним переглядом. Натомість продукти Jumpshot повинні допомагати компаніям дізнаватися, які продукти особливо популярні чи наскільки ефективна їхня рекламна кампанія.
Але дані Jumpshot можуть бути не повністю анонімними. У внутрішньому довіднику продукту зазначено, що ідентифікатори пристроїв не змінюються для кожного користувача, якщо він повністю не видалить і не перевстановить програмне забезпечення безпеки. Численні статті та академічні дослідження показали, як можна дізнатися особистість людини, використовуючи нібито анонімні дані. Це підтвердили репортери New York Times у 2006 році, а також дослідники зі Стендфордського університету у 2017 році.
Деанонімізація стає значно серйознішою проблемою, якщо згадати про те, що кінцеві покупці даних Jumpshot можуть об’єднати їх зі своїми власними даними.
“Більшість загроз, створюваних деанонімізацією, виходить із здатності поєднувати інформацію з іншими даними”.
Тимчасова мітка з точністю до мілісекунди може дозволити компанії, що має власний банк даних про клієнтів, бачити, як один користувач відвідує їхній власний сайт, а потім слідкувати за ними через інші сайти за допомогою Jumpshot.
“Знеособити дані практично неможливо, – сказав Ерік Голдман, професор юридичного факультету Університету Санта-Клари.
Журналісти з Motherboard і PCMag задали Avast низку докладних питань про те, як вона захищає анонімність користувачів та деталі деяких контрактів компанії. Avast не відповів на більшість питань, але написав у заяві: “Завдяки нашому підходу ми гарантуємо, що Jumpshot не отримає жодної ідентифікаційної інформації, включаючи ім’я, адреси електронної пошти чи контактні дані від людей, які використовують наше популярне безкоштовне антивірусне програмне забезпечення”.
"У нас великий досвід захисту пристроїв та даних користувачів від шкідливих програм, і ми розуміємо та серйозно ставимося до відповідальності за балансування конфіденційності користувачів з необхідним використанням даних", – йдеться у заяві.
Також компанія заявила, що дотримується Каліфорнійського закону про конфіденційність споживачів (CCPA) і Європейського регламенту захисту даних (GDPR) щодо всієї своєї бази користувача.
Коли редактор PCMag вперше встановив антивірусний продукт Avast, програма справді запитала, чи хочуть вони взяти участь у зборі даних.
“Якщо Ви дасте дозвіл, ми надамо нашій дочірній компанії Jumpshot Inc. збір знеособлених даних, отриманих з Вашої історії переглядів, з метою дозволити Jumpshot аналізувати ринки та бізнес-тенденції та збирати іншу цінну інформацію”, проте у спливаючому вікні не було розказано нічого про те, як саме Jumpshot потім використовує ці дані.
UPD: Офіційна відповідь від компанії Avast
«Avast закрила компанію Jumpshot у січні 2020 року, тим самим припинивши передачу даних. Наша мета – зробити Інтернет безпечнішим і захищати персональну інформацію людей. Тому в 2020 році ми зробили кроки для покращення захисту даних, найняли директора з питань конфіденційності, який продовжує просувати нашу стратегію захисту даних та обмінюватися досвідом з такими організаціями як TOR та Future of Privacy Forum. Наша політика конфіденційності отримала сертифікат TRUSTe. У майбутньому ми й надалі робитимемо дії щодо забезпечення приватності користувачів»
За матеріалами Vice та PCMag
Зображення на обкладинці: Monika Kovacs