Antivírusová aplikácia spoločnosti Avast predáva „každé vyhľadávanie“, „každé kliknutie“, „každý nákup na všetkých navštívených stránkach“. Medzi kupujúcich patria Home Depot, Google, Microsoft, Pepsi a McKinsey.
(uverejnené so skratkami)
Antivírusový program, ktorý používajú stovky miliónov ľudí na celom svete, predáva osobné údaje prehliadania webu mnohým z najväčších spoločností na svete. Dôkazom toho je spoločné vyšetrovanie portálovej základnej dosky a PCMag. Materiál je založený na „únikových“firemných dokumentoch, ktoré dokazujú, že spoločnosť, ktorá vlastní antivírusový program, predáva vysoko dôverné údaje.
Dokumenty, ktoré vlastní spoločnosť Jumpshot, dcérska spoločnosť antivírusového gigantu Avast, vrhli nové svetlo na skrytú históriu predaja osobných internetových údajov. Antivírus Avast nainštalovaný v osobnom počítači zbiera údaje a program Jumpshot ho „opätovne zabalí“do rôznych produktov, ktoré sa potom predávajú mnohým z najväčších spoločností na svete. Nákupný zoznam obsahuje giganty ako Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit a mnoho ďalších. Niektorí zákazníci zaplatili milióny dolárov za produkty, ktoré obsahujú tzv. Kanál typu „všetko kliknutie“, ktorý môže s vysokou presnosťou sledovať správanie používateľov, kliknutia a navigáciu na webe.
Spoločnosť Avast tvrdí, že má viac ako 435 miliónov aktívnych používateľov mesačne a spoločnosť Jumpshot zbiera údaje zo 100 miliónov zariadení. Avast zhromažďuje používateľské údaje a potom ich odosiela Jumpshot, ale niekoľko používateľov Avast povedalo základnej doske, že nevedeli, že sa ich údaje zdieľajú s tretími stranami.
Podľa základných dosiek a programu PCMag tieto osobné údaje zahŕňali vyhľadávania Google, polohy Máp Google a GPS súradnice, stránky LinkedIn, súkromné videá YouTube a informácie o navštívených pornografických stránkach. Pomocou oblasti zhromaždených údajov je možné určiť, kedy anonymný používateľ navštívil YouPorn a PornHub, av niektorých prípadoch dokonca vyhľadávať a sledovať konkrétne videá.
Hoci súbory údajov neobsahujú osobné informácie, ako sú užívateľské mená, stále obsahujú veľa konkrétnych údajov a odborníci tvrdia, že nie je také ťažké deanonymizovať konkrétnu osobu, ktorá ich používa.
V tlačovej správe vydanej v júli spoločnosť Jumpshot tvrdí, že je „jedinou spoločnosťou odhalujúcou množstvo tajomstiev“, a zaväzuje sa „poskytnúť obchodníkom hlbšie porozumenie online aktivít zákazníkov“. „Sú veľmi podrobné a veľmi zaujímavé pre kupujúcich, pretože sú na úrovni zariadenia s časovou pečiatkou,“uviedol zdroj základnej dosky, pričom citoval špecifiká a citlivosť predávaných údajov.
Propagačné video:
Donedávna spoločnosť Avast zhromažďovala údaje o premávke od zákazníkov, ktorí si nainštalovali doplnok prehliadača vyvinutý spoločnosťou, ktorý upozorňuje používateľov na podozrivé webové stránky. Výskumník bezpečnosti a tvorca AdBlock Plus, Vladimir Palant, uverejnil v októbri blogový príspevok, v ktorom tvrdil, že Avast zhromažďuje používateľské údaje pomocou doplnku. Krátko nato tvorcovia prehliadača Mozilla, Opera a Google odstránili rozšírenia Avast zo svojich príslušných obchodov. Spoločnosť Avast predtým vysvetlila tento zber a zdieľanie údajov na blogu a na fóre v roku 2015. Od tej doby spoločnosť Avast údajne prestala odosielať údaje prehliadania zhromaždené týmito rozšíreniami.
Zbieranie údajov však pokračuje, uvádza sa zdroj a dokumenty. Namiesto zhromažďovania informácií pomocou softvéru pripojeného k prehliadaču to robí Avast pomocou samotného antivírusu. Minulý týždeň, mesiace po tom, čo bolo objavené pomocou rozšírení prehľadávača na odosielanie údajov na server Jumpshot, začala spoločnosť Avast požiadať svojich antivírusových klientov o povolenie zberu údajov. „Ak používatelia súhlasia, zariadenie začne zaznamenávať všetku online aktivitu zákazníka,“hovorí interná produktová príručka.
Základná doska a spoločnosť PCMag kontaktovali viac ako dve desiatky spoločností uvedených vo vnútorných záznamoch. Len málo ľudí odpovedalo na otázky o tom, čo robia s údajmi na základe histórie prehliadania používateľov Avastu.
„Niekedy využívame informácie od poskytovateľov tretích strán na zlepšenie nášho podnikania, výrobkov a služieb. Požadujeme, aby títo dodávatelia mali príslušné práva na poskytovanie týchto informácií nám. V tomto prípade dostávame anonymné údaje o publiku, ktoré nemožno použiť na identifikáciu jednotlivých zákazníkov, “uviedol hovorca Home Depot e-mailom.
Microsoft odmietol komentovať špecifiká získavania produktov od spoločnosti Jumpshot, uviedol však, že nemá trvalý vzťah so spoločnosťou. Hovorca Yelpu napísal v e-maile: „V roku 2018 bol v rámci protimonopolnej žiadosti o informácie požiadaný tím Yelpu, aby vyhodnotil vplyv spoločnosti Google na miestny trh s vyhľadávacími nástrojmi. Program Jumpshot sa používal naraz. ““
Spoločnosť Southwest Airlines uviedla, že rokovala o partnerstve so spoločnosťou Jumpshot, ale nedosiahla dohodu so spoločnosťou. Spoločnosť IBM uviedla, že s programom Jumpshot nefunguje, a spoločnosť Altria uviedla, že s programom Jumpshot teraz nefunguje, hoci to neuviedlo, či tak už predtým urobila. Sephora uviedla, že to s Jumpshotom nefunguje. Spoločnosť Google neodpovedala na žiadosť o komentár.
Na svojich webových stránkach av tlačových správach Jumpshot nazýva Pepsi, ako aj poradcovských gigantov Bain & Company a McKinsey ako klientov.
Okrem spoločností Expedia, Intuit a Loreal patria medzi ďalšie spoločnosti, ktoré sa ešte nezúčastnili verejných oznámení spoločnosti Jumpshot, spoločnosť na výrobu kávy Keurig, služba YouTube vidIQ a spoločnosť Hitwise, spotrebiteľská výskumná spoločnosť. Žiadna z týchto spoločností neodpovedala na žiadosť o pripomienky.
Na svojej webovej stránke spoločnosť Jumpshot uvádza niektoré z predchádzajúcich prípadov použitia svojich údajov. Napríklad spoločnosť Condé Nast použila produkty Jumpshot, aby zistila, či reklama mediálnej spoločnosti viedla k nákupom na webe Amazon a inde. Condé Nast neodpovedal na žiadosť o komentár.
Spoločnosť Jumpshot predáva rôzne produkty založené na údajoch zhromaždených antivírusovým softvérom Avast nainštalovaným v počítačoch používateľov. Zákazníci v sektore inštitucionálnych financií často kupujú kanály z 10 000 domén, ktoré používatelia Avastu navštevujú, aby sa pokúsili spoznať trendy, hovorí produktový sprievodca.
Ďalším produktom spoločnosti Jumpshot je tzv. Informačný kanál všetkých kliknutí. To umožňuje zákazníkovi nakupovať informácie o všetkých kliknutiach, ktoré spoločnosť Jumpshot zaznamenala v konkrétnej doméne, ako je Amazon.com, Walmart.com, Target.com, BestBuy.com alebo Ebay.com.
V tweetu uverejnenom minulý mesiac s cieľom prilákať nových zákazníkov, Jumpshot poznamenal, že zbiera „každé vyhľadávanie. Každé kliknutie. Informácie o každom nákupe na každom webe. “
Údaje zo snímok môžu zobrazovať niekoho, kto má Avast nainštalovaný vo svojom počítači, googling pre produkt, kliknutím na odkaz, ktorý vedie k Amazonu, a potom možno položku pridá do košíka na inej webovej stránke skôr, ako sa konečne, kúpiť produkt.
Jednou zo spoločností, ktoré získali All Clicks, je marketingová spoločnosť Omnicom Media Group so sídlom v New Yorku. V rámci zmluvy Omnicom zaplatil spoločnosti Jumpshot 2 075 000 dolárov za prístup k údajom v roku 2019. Súčasťou dohody bol aj ďalší produkt s názvom Insight Feed pre 20 rôznych domén. Poplatky za údaje v roku 2020 a potom v roku 2021 sú uvedené na 2 225 000 000 a 2 275 000 USD.
Program Jumpshot umožnil spoločnosti Omnicom prístup ku všetkým kanálom kliknutia zo 14 rôznych krajín vrátane Spojených štátov, Anglicka, Kanady, Austrálie a Nového Zélandu. Produkt tiež zahŕňa zamýšľané pohlavie používateľov „na základe správania pri prehliadaní“, ich odhadovaný vek a „celý reťazec URL“, ale odstránené informácie umožňujúce identifikáciu osôb (PII).
Omnicom neodpovedal na niekoľko žiadostí o pripomienky.
Na základe zmluvy je „ID zariadenia“každého používateľa hashované, čo znamená, že spoločnosť nakupujúca údaje nemusí byť schopná určiť, kto presne je za každým zobrazením. Namiesto toho majú produkty Jumpshot pomôcť spoločnostiam pochopiť, ktoré produkty sú obzvlášť populárne alebo ako účinná je reklamná kampaň.
Údaje Jumpshot však nemôžu byť úplne anonymné. V internej príručke k produktu sa uvádza, že ID zariadenia sa pre každého používateľa nemenia „iba ak používateľ úplne odinštaluje a znovu nainštaluje bezpečnostný softvér“. Početné články a vedecké štúdie ukázali, že je celkom možné vystaviť ľudí pomocou takzvaných anonymných údajov. V roku 2006 boli novinári New York Times schopní identifikovať konkrétnu osobu z cache údajne anonymných vyhľadávacích údajov, ktoré AOL zverejnila. Aj keď sa overené údaje viac zameriavali na prepojenia sociálnych médií, ktoré upravil Jumpshot, štúdia z roku 2017 na Stanfordskej univerzite zistila, že bolo možné identifikovať ľudí z anonymných údajov online.
Základná doska a PCMag položili spoločnosti Avast niekoľko podrobných otázok o tom, ako chráni anonymitu používateľov, a tiež požadovali podrobnosti o niektorých zmluvách spoločnosti. Spoločnosť Avast neodpovedala na väčšinu otázok, ale vydala vyhlásenie: „Prostredníctvom nášho prístupu zabezpečujeme, aby spoločnosť Jumpshot nezískala informácie umožňujúce identifikáciu osôb, vrátane mena, e-mailovej adresy alebo kontaktných informácií ľudí, ktorí používajú náš obľúbený antivírusový softvér.“
„Používatelia mali vždy možnosť rozhodnúť sa pre komunikáciu s Jumpshotom. Od júla 2019 sme už začali implementovať explicitné voľby pre všetky nové stiahnutia nášho antivírusu a teraz požadujeme súhlas aj od našich existujúcich bezplatných používateľov - proces, ktorý bude dokončený vo februári 2020, “uviedol hovorca spoločnosti Avast a dodal, že spoločnosť vyhovuje Kalifornskému zákonu o ochrane spotrebiteľa (CCPA) a Všeobecnému európskemu nariadeniu o ochrane údajov (GDPR) pre celú svoju globálnu užívateľskú základňu.
„Máme dlhú históriu ochrany používateľských zariadení a údajov pred škodlivým softvérom a chápeme a berieme vážne zodpovednosť za vyváženie súkromia používateľov s potrebným použitím údajov,“uvádza sa vo vyhlásení.
Keď novinár PCMag prvýkrát nainštaloval antivírusový produkt spoločnosti Avast tento mesiac, program sa opýtal, či sa chce podieľať na zhromažďovaní údajov.
„Ak budete chcieť, poskytneme našej dcérskej spoločnosti Jumpshot Inc. vyhradený a de-identifikovaný súbor údajov odvodený z vašej histórie prehliadania, aby spoločnosť Jumpshot mohla analyzovať trhy a obchodné trendy a zhromažďovať ďalšie cenné informácie, “hovorí správa. Toto kontextové okno však podrobne neuvádzalo, ako spoločnosť Jumpshot tieto údaje používa.
„Informácie sú úplne identifikované a agregované, nemožno ich použiť na osobnú identifikáciu. Spoločnosť Jumpshot môže zdieľať súhrnné informácie so svojimi zákazníkmi, “dodal vyskakovacie okno.
Aktualizácia: Po zverejnení tohto vyšetrovania spoločnosť Avast oznámila, že pozastavuje zhromažďovanie údajov pomocou nástroja Jumpshot.
Autor: Joseph Cox