Avastova antivirusna aplikacija prodaja "vsako iskanje", "vsak klik", "vsak nakup na vsakem spletnem mestu, ki ga obiščete." Kupci vključujejo Home Depot, Google, Microsoft, Pepsi in McKinsey.
(objavljeno s kraticami)
Protivirusni program, ki ga uporabljajo stotine milijonov ljudi po vsem svetu, prodaja osebne podatke brskanja po spletu številnim največjim podjetjem na svetu. To dokazujeta skupna preiskava portalov Motherboard in PCMag. Gradivo temelji na "puščenih" dokumentih podjetij, ki dokazujejo, da podjetje, ki je lastnik protivirusnega programa, prodaja zelo zaupne podatke.
Dokumenti, ki jih ima v lasti Jumpshot, hčerinsko podjetje protivirusnega velikana Avast, so osvetlili zgodovino prodaje osebnih internetnih podatkov. Protivirusni sistem Avast, nameščen v računalniku, zbira podatke, Jumpshot pa jih »prepakira« v različne izdelke, ki jih nato prodajo številnim največjim podjetjem na svetu. Na nakupovalnem seznamu so velikani, kot so Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit in številni drugi. Nekateri kupci so plačali milijone dolarjev za izdelke, ki vključujejo tako imenovani "kanal z vsemi kliki", ki lahko z visoko natančnostjo spremlja vedenje uporabnikov, klike in navigacijo po spletnem mestu.
Avast trdi, da ima več kot 435 milijonov aktivnih uporabnikov mesečno, Jumpshot pa zbira podatke iz 100 milijonov naprav. Avast zbira podatke o uporabnikih in jih nato predloži Jumpshot, vendar je več uporabnikov Avasta matični plošči povedalo, da ne vedo, da se njihovi podatki delijo s tretjimi osebami.
Po podatkih Motherboard in PCMag so ti osebni podatki vključevali iskanje Google, lokacijo Google Maps in GPS koordinate, strani LinkedIn, zasebne videoposnetke v YouTubu in informacije o obiskanih porno spletnih mestih. S pomočjo zbranega podatkovnega bazena je mogoče ugotoviti, kdaj je anonimni uporabnik obiskal YouPorn in PornHub, v nekaterih primerih pa celo iskanje in določene gledalce.
Čeprav zbirke podatkov ne vključujejo osebnih podatkov, kot so uporabniška imena, še vedno vsebujejo veliko posebnih podatkov, strokovnjaki pa trdijo, da deanonimizirati določeno osebo, ki jih uporablja, ni tako težko deanonimizirati.
V sporočilu za javnost, ki je bilo objavljeno julija, Jumpshot trdi, da je "edino podjetje, ki je razkrilo številne skrivnosti", in se zavezuje, da bo "tržnikom zagotovil globlje razumevanje strankinih spletnih aktivnosti". "Zelo so podrobni in kupce zelo zanimajo, saj so na ravni naprave s časovnim žigom," je komentiral vir Motherboard in navajal posebnosti in občutljivost prodanih podatkov.
Promocijski video:
Do nedavnega je Avast zbiral podatke o prometu od strank, ki so namestili vtičnik za brskalnik, ki ga je podjetje razvilo, da bi uporabnike opozorilo na sumljive spletne strani. Raziskovalec varnosti in ustvarjalec AdBlock Plus Vladimir Palant je oktobra objavil objavo na spletnem dnevniku, v kateri trdi, da Avast zbira uporabniške podatke s pomočjo vtičnika. Kmalu zatem so proizvajalci brskalnikov Mozilla, Opera in Google odstranili razširitve Avast iz svojih trgovin. Avast je predhodno razložil to zbiranje in skupno rabo podatkov v blogu in objavi na forumu leta 2015. Od takrat naj bi Avast nehal pošiljati podatke o brskanju, zbrane s temi razširitvami.
Vendar se zbiranje podatkov nadaljuje, navajata vir in dokumenti. Namesto da zbira informacije s pomočjo programske opreme, povezane v brskalnik, Avast to počne s samim protivirusom. Prejšnji teden, nekaj mesecev po tem, ko so ga odkrili s pomočjo razširitev brskalnika za pošiljanje podatkov na Jumpshot, je Avast začel od svojih antivirusnih strank zahtevati, da dovolijo zbiranje podatkov. »Če se uporabniki strinjajo, naprava začne beležiti vse spletne aktivnosti kupca,« pravi interni priročnik za izdelke.
Motherboard in PCMag sta stopila v stik z več kot dvema podjetjema, omenjenima v internih vlogah. Nekaj odgovarja na vprašanja o tem, kaj počnejo s podatki na podlagi zgodovine brskanja uporabnikov Avasta.
»Včasih uporabljamo informacije drugih ponudnikov za izboljšanje poslovanja, izdelkov in storitev. Zahtevamo, da imajo ti dobavitelji ustrezne pravice, da nam te informacije posredujejo. V tem primeru prejmemo anonimne podatke občinstva, ki jih ni mogoče uporabiti za identifikacijo posameznih strank, je po elektronski pošti povedal tiskovni predstavnik Home Depot.
Microsoft ni želel komentirati posebnosti nakupa izdelkov podjetja Jumpshot, vendar je dejal, da s podjetjem nima stalnih odnosov. Tiskovni predstavnik Yelp je v e-poštnem sporočilu zapisal: „Leta 2018 je bila skupina Yelp v okviru protimonopolne zahteve po informacijah zaprošena za oceno Googlovega vpliva na lokalni trg iskalnikov. Naenkrat je bil uporabljen "Jumpshot"."
Southwest Airlines je dejal, da je razpravljal o partnerstvu z Jumpshotom, vendar s podjetjem ni dosegel sporazuma. IBM je dejal, da ne deluje z Jumpshotom, Altria pa je dejala, da zdaj ne dela z Jumpshotom, čeprav prej ni navedla, ali je to storila. Sephora je izjavila, da to z Jumpshotom ne deluje. Google na zahtevo za komentar ni odgovoril.
Na svojem spletnem mestu in v sporočilih za javnost Jumpshot imenuje Pepsi ter svetovalce velikanov Bain & Company in McKinsey kot stranke.
Poleg Expedia, Intuit in Loreal, druga javna sporočila, ki še niso predstavljena v javnih objavah Jumpshota, vključujejo kavsko podjetje Keurig, YouTube vidIQ in Hitwise, podjetje za raziskave potrošnikov. Nobeno od teh podjetij ni odgovorilo na zahtevo za komentar.
Na svojem spletnem mestu Jumpshot navaja nekaj prejšnjih primerov uporabe svojih podatkov. Condé Nast je na primer z izdelki Jumpshot preveril, ali oglas medijske družbe vodi do nakupov na Amazonu in drugje. Condé Nast ni odgovoril na prošnjo za komentar.
Jumpshot prodaja različne izdelke na podlagi podatkov, ki jih je zbrala protivirusna programska oprema Avast, nameščena v računalnikih uporabnikov. Uporabniki v sektorju institucionalnih financ pogosto kupujejo kanale na 10.000 domenah, ki jih uporabniki Avasta obiščejo, da bi poskusili opaziti trende, pravi vodnik po izdelkih.
Drug izdelek Jumpshot je tako imenovani "All Click Feed". To kupcu omogoča nakup informacij o vseh klikih, ki jih je Jumpshot videl na določeni domeni, kot so Amazon.com, Walmart.com, Target.com, BestBuy.com ali Ebay.com.
Jumpshot je v tvitu, objavljenem prejšnji mesec s ciljem pritegniti nove stranke, ugotovil, da zbira "Vsako iskanje. Vsak klik. Informacije o vsakem nakupu na vsakem spletnem mestu."
Podatki iz posnetka bodo morda pokazali, da je nekdo, ki ima Avast nameščen v računalniku, googling za izdelek, kliknil povezavo, ki je pripeljala do Amazona, in nato morda izdelek dodal v košarico na drugem spletnem mestu, preden končno, kupite izdelek.
Ena od podjetij, ki je pridobila All Clicks, je newyorško tržno podjetje Omnicom Media Group. V skladu s pogodbo je Omnicom v letu 2019 za dostop do podatkov plačal Jumpshot 2.075.000 dolarjev. Dogovor je vključeval še en izdelek z imenom Insight Feed za 20 različnih domen. V dokumentu se leta 2020 in nato leta 2021 podatki nanašajo na 2,225.000 do 2,275.000 dolarjev, piše v dokumentu.
Jumpshot je Omnicom omogočil dostop do vseh klikov iz 14 različnih držav, vključno z ZDA, Anglijo, Kanado, Avstralijo in Novo Zelandijo. Izdelek vključuje tudi predvideni spol uporabnikov, "ki temelji na vedenju brskanja", njihovi ocenjeni starosti in "celotnem nizu URL-jev", vendar z odstranjenimi osebno prepoznavnimi podatki (PII).
Omnicom na več prošenj za komentar ni odgovoril.
Po pogodbi je vsak uporabnikov ID naprave razstavljen, kar pomeni, da podjetju, ki kupuje podatke, ni treba določiti, kdo točno stoji za vsakim pogledom. Namesto tega naj bi Jumpshot izdelki pomagali podjetjem razumeti, kateri izdelki so še posebej priljubljeni ali kako učinkovita je oglaševalska akcija.
Podatki o posnetkih pa ne morejo biti popolnoma anonimni. V notranjem priročniku izdelka je navedeno, da se ID-ji naprav ne spremenijo za vsakega uporabnika, "razen če uporabnik popolnoma odstrani in znova namesti varnostno programsko opremo." Številni članki in znanstvene študije so pokazale, da je povsem mogoče izpostaviti ljudi z uporabo tako imenovanih anonimnih podatkov. Leta 2006 so novinarji New York Timesa iz predpomnilnika domnevno anonimnih podatkov o iskanju, ki jih je AOL javno objavil, lahko identificirali določeno osebo. Medtem ko so bili preverjeni podatki bolj osredotočeni na povezave v družbenih medijih, ki jih je Jumpshot urejal, je raziskava iz leta 2017 na Univerzi Stanford ugotovila, da je mogoče na spletu prepoznati ljudi iz anonimnih podatkov.
Motherboard in PCMag sta Avastu postavila številna podrobna vprašanja o tem, kako ščiti anonimnost uporabnikov, zahtevali pa so tudi podrobnosti o nekaterih pogodbah podjetja. Avast ni odgovoril na večino vprašanj, je pa izdal izjavo: "Z našim pristopom zagotavljamo, da Jumpshot ne prejme osebno prepoznavnih podatkov, vključno z imenom, e-poštnim naslovom ali kontaktnimi podatki ljudi, ki uporabljajo našo priljubljeno brezplačno protivirusno programsko opremo."
»Uporabniki so imeli vedno možnost, da ne želijo komunicirati z Jumpshotom. Od julija 2019 smo že začeli izvajati izrecne izbire za vse nove prenose našega protivirusnega sistema, zdaj pa zahtevamo tudi soglasje naših obstoječih brezplačnih uporabnikov - postopek, ki se bo zaključil februarja 2020, je povedal predstavnik Avasta in dodal, da podjetje je v skladu s Kalifornijskim zakonom o varstvu potrošnikov (CCPA) in Splošno evropsko uredbo o varstvu podatkov (GDPR) za celotno svojo bazo uporabnikov.
"Imamo dolgo zgodovino varovanja uporabniških naprav in podatkov pred zlonamerno programsko opremo, zato razumemo in resno sprejemamo odgovornost za uravnoteženje zasebnosti uporabnikov s potrebno uporabo podatkov," je zapisano v izjavi.
Ko je novinar PCMaga ta mesec prvič namestil Avastov protivirusni izdelek, ga je program vprašal, ali želi sodelovati pri zbiranju podatkov.
"Če želite, bomo zagotovili hčerinsko družbo Jumpshot Inc. namenski in de-identificirani nabor podatkov, ki izhaja iz vaše zgodovine brskanja, tako da bo Jumpshot lahko analiziral trge in poslovne trende ter zbiral druge dragocene vpoglede, "piše v sporočilu. Vendar pojavno okno ni natančno opredelilo, kako Jumpshot uporablja te podatke.
Informacije so popolnoma identificirane in združene, zato jih ni mogoče uporabiti za osebno identifikacijo. Jumpshot lahko deli zbrane informacije s svojimi strankami, «je dodal pojavno okno.
Posodobitev: Po objavi te preiskave je Avast sporočil, da prekinja zbiranje podatkov z uporabo Jumpshot-a.
Avtor Joseph Cox