Az Avast víruskereső alkalmazás „minden keresést”, „minden kattintást”, „minden vásárlást, minden látogatott webhelyet” elad. A vásárlók között szerepel a Home Depot, a Google, a Microsoft, a Pepsi és a McKinsey.
(rövidítésekkel közzétett)
A világon több millió millió ember által használt antivírus program személyes webböngészési adatokat értékesít a világ számos legnagyobb vállalatának. Ezt az Alaplap és a PCMag portálok közös vizsgálata bizonyítja. Az anyag „kiszivárgott” vállalati dokumentumokon alapul, amelyek bizonyítják, hogy az antivírus tulajdonosa a nagyon bizalmas adatokat értékesít.
A Jumpshot, az Avast antivírus óriás leányvállalata tulajdonában lévő dokumentumok új fényt vettek a személyes internetes adatok eladásának rejtett történetére. A személyi számítógépre telepített Avast víruskereső adatgyűjtést végez, és a Jumpshot különféle termékekbe „újracsomagolja” azokat, amelyeket a világ számos legnagyobb vállalatának eladnak. A bevásárlólista olyan óriásokat tartalmaz, mint a Google, a Yelp, a Microsoft, a McKinsey, a Pepsi, a Home Depot, a Condé Nast, az Intuit és még sok más. Néhány vásárló több millió dollárt fizetett azokért a termékekért, amelyek tartalmaznak egy úgynevezett „kattintásos csatornát”, amely nagy pontossággal képes nyomon követni a felhasználói viselkedést, a kattintásokat és a weboldalon történő navigációt.
Az Avast állítása szerint havi 435 millió aktív felhasználója van, és a Jumpshot 100 millió eszközről gyűjt adatokat. Az Avast összegyűjti a felhasználói adatokat, majd továbbítja azokat a Jumpshot-hoz, de több Avast-felhasználó azt mondta az Alaplapnak, hogy nem tudtak arról, hogy adataikat megosztják harmadik felekkel.
Az Alaplap és a PCMag szerint ezek a személyes adatok tartalmazzák a Google kereséseket, a Google Maps helyét és GPS koordinátáit, a LinkedIn oldalakat, a privát YouTube videókat és a látogatott pornó oldalakkal kapcsolatos információkat. Az összegyűjtött adatkészlet segítségével meghatározható, hogy egy névtelen felhasználó mikor járt el a YouPornban és a PornHubban, és egyes esetekben akár kereséseket és konkrét videókat is megtekintett.
Noha az adatkészletek nem tartalmaznak olyan személyes információkat, mint például a felhasználóneveket, még mindig sok konkrét adatot tartalmaznak, és a szakértők szerint nem olyan nehéz az őket használó személyek névtelenítése.
A júliusban kiadott sajtóközleményben a Jumpshot állítólag "egyetlen társaság, amely számos titkot felfed", és elkötelezett amellett, hogy "a marketingszakembereknek mélyebben megismerjék az ügyfelek online tevékenységét". "Nagyon részletesek és nagy érdeklődést mutatnak a vásárlók számára, mivel az eszköz szintjén vannak időbélyeggel" - kommentálta az Alaplap forrása, idézve az eladott adatok sajátosságait és érzékenységét.
Promóciós videó:
A közelmúltig az Avast forgalmi adatokat gyűjtött azoktól az ügyfelektől, akik telepítették az Avast által kifejlesztett böngésző plugin-t, hogy figyelmeztessék a felhasználókat a gyanús webhelyekre. Vladimir Palant, az AdBlock Plus biztonsági kutatója és alkotója egy októberi blogbejegyzést tett közzé, amelyben azt állította, hogy az Avast a plugin segítségével gyűjti a felhasználói adatokat. Röviddel ezután a böngészőgyártók, a Mozilla, az Opera és a Google eltávolították az Avast kiterjesztéseket saját üzletükből. Az Avast ezt az adatgyűjtést és -megosztást korábban egy blog- és fórumbejegyzésben magyarázta meg 2015-ben. Azóta az Avast állítólag abbahagyta az ezen kiterjesztések által összegyűjtött böngészési adatok küldését.
Az adatgyűjtés azonban folytatódik, a forrás és a dokumentumok azt jelzik. Ahelyett, hogy információkat gyűjtne a böngészőhöz csatlakoztatott szoftverekkel, az Avast maga a víruskeresőt használja. A múlt héten, hónapokkal azután, hogy felfedezték böngésző-kiterjesztéseit, hogy adatokat küldjenek a Jumpshot-hoz, az Avast megkérte antivírus ügyfeleit, hogy engedélyezzék az adatgyűjtést. „Ha a felhasználók egyetértenek, akkor a készülék elkezdi rögzíteni az ügyfél összes online tevékenységét” - mondja a belső termékkönyv.
Az alaplap és a PCMag több mint két tucat céggel kapcsolatba lépett a belső bejelentésekben. Kevés válaszolt az Avast felhasználók böngészési előzményei alapján feltett kérdésekre arról, hogy mit tesznek az adatokkal.
„Időnként harmadik fél szolgáltatóitól származó információkat használunk üzleti, termékeink és szolgáltatásaink javításához. Követeljük, hogy ezeknek a beszállítóknak megfelelő jogukkal rendelkezzenek ezen információk átadására nekünk. Ebben az esetben anonim közönségi adatokat kapunk, amelyeket nem lehet felhasználni az egyes ügyfelek azonosítására”- mondta e-mailben a Home Depot szóvivője.
A Microsoft nem volt hajlandó kommentálni a Jumpshot termékeinek megvásárlásának sajátosságait, de kijelentette, hogy nincs folyamatos kapcsolat a társasággal. A Yelp szóvivője e-mailben írta: „2018-ban a monopóliumellenes információkérés részeként a Yelp-csoportot felkérték, hogy értékelje a Google hatását a helyi keresőmotorok piacára. A pillanatfelvételt egy időben használták."
A Southwest Airlines azt mondta, hogy megbeszélte a partnerséget a Jumpshot-val, de még nem jutott megállapodásra a társasággal. Az IBM szerint az nem működik a Jumpshot-szal, az Altria azt mondta, hogy most nem működik a Jumpshot-nal, bár nem jelezte, hogy korábban ezt tette-e. Sephora kijelentette, hogy ez nem működik a Jumpshot esetén. A Google nem válaszolt a megjegyzés iránti kérelemre.
A weboldalon és a sajtóközleményekben a Jumpshot a Pepsi nevét, valamint a Bain & Company és a McKinsey óriások tanácsadását nevezi ügyfeleknek.
Az Expedia, az Intuit és a Loreal mellett más olyan cégek is, amelyek még nem szerepelnek a Jumpshot nyilvános bejelentéseiben, a Keurig kávézó, a YouTube vidIQ és a Hitwise, a fogyasztói kutató cég. E vállalatok egyike sem válaszolt a megjegyzéskérelemre.
A weboldalon a Jumpshot felsorolja az adatok korábbi felhasználási eseteit. Például a Condé Nast a Jumpshot termékeket alkalmazta annak ellenőrzésére, hogy egy médiavállalat hirdetése vásárlásokhoz vezetett-e az Amazonon és másutt. Condé Nast nem válaszolt a megjegyzéskérelemre.
A Jumpshot különféle termékeket értékesít a felhasználók számítógépére telepített Avast víruskereső szoftver által gyűjtött adatok alapján. Az intézményi pénzügyi szektor ügyfelei gyakran csatornákat vásárolnak 10 000 domainből, amelyeket az Avast felhasználók meglátogatnak, hogy megkíséreljék feltárni a trendeket - mondja a termék útmutató.
Egy másik jumpshot termék az úgynevezett "All Click Feed". Ez lehetővé teszi az ügyfél számára, hogy minden olyan kattintással kapcsolatos információt megvásároljon, amelyet a Jumpshot egy adott domainben látott, például az Amazon.com, Walmart.com, Target.com, BestBuy.com vagy az Ebay.com.
Az elmúlt hónapban új ügyfelek vonzására szánt tweetben Jumpshot megjegyezte, hogy „Minden keresést. Minden kattintás. Információk az egyes webhelyek minden egyes vásárlásáról."
A jumpshot adatok azt jeleníthetik meg, hogy az Avast telepítve van a számítógépén, googelve egy terméket, rákattintva egy linkre, amely az Amazonhoz vezet, majd esetleg hozzáadva az elemet egy másik webhely kosarába, mielőtt végre, vesz egy terméket.
Az All Clicks-et megvásárló társaságok egyike a New York-i marketing vállalkozás, az Omnicom Media Group. A szerződés értelmében az Omnicom a Jumpshot-hoz 2 075 000 dollárt fizetett az 2019-es adathozzáférésért. Az üzlet tartalmazott egy másik terméket, Insight Feed néven 20 különféle domainhez. Az adatköltségeket 2020-ban, majd 2021-ben 2225 000 dollárra, illetve 2275 000 dollárra jelzik, mondja a dokumentum.
A jumpshot az Omnicom számára hozzáférést biztosít a kattintási csatornákhoz a világ 14 különböző országából, beleértve az Egyesült Államokat, Angliát, Kanadát, Ausztráliát és Új-Zélandot. A termék magában foglalja a "felhasználók böngészési viselkedésén alapuló" szándékolt nemét, becsült életkorukat és "teljes URL-karakterláncot", de eltávolítva a személyazonosításra alkalmas információkat (PII).
Az Omnicom több észrevételi kérésre sem válaszolt.
Szerződés szerint minden felhasználó „eszköz-azonosítóját” hash-ra állítják, ami azt jelenti, hogy az adatokat vásárló cégnek nem kell képesnek lennie arra, hogy meghatározza, ki pontosan ki van az egyes nézetek mögött. Ehelyett a Jumpshot termékeknek segíteniük kell a cégeket abban, hogy megértsék, mely termékek különösen népszerűek, vagy mennyire hatékony a reklámkampány.
A jumpshot adatai azonban nem lehetnek teljesen névtelenek. A belső termék kézikönyv kimondja, hogy az eszköz azonosítói nem változnak minden felhasználó számára, "hacsak a felhasználó nem távolítja el és nem telepíti újra a biztonsági szoftvert". Számos cikk és tudományos tanulmány kimutatta, hogy az emberek úgynevezett névtelen adatokkal való kitettsége teljesen lehetséges. A New York Times újságírói 2006-ban egy állítólagos névtelen keresési adatok gyorsítótárából azonosíthattak egy adott személyt, amelyet az AOL nyilvánosan közzétett. Míg az ellenőrzött adatok inkább a közösségi média hivatkozásaira voltak összpontosítva, amelyeket a Jumpshot szerkesztett, a Stanfordi Egyetemen végzett 2017. évi tanulmány rámutatott, hogy névtelen adatokból online lehet azonosítani az embereket.
Az alaplap és a PCMag számos részletes kérdést tett fel az Avastnak arról, hogyan védi meg a felhasználók anonimitását, és részleteket kért a társaság néhány szerződésére vonatkozóan. Az Avast nem válaszolt a legtöbb kérdésre, de nyilatkozatot adott ki: "Megközelítésünk révén biztosítjuk, hogy a Jumpshot ne kapjon személyesen azonosítható információkat, ideértve a népszerű ingyenes víruskereső szoftverünket használó emberek nevét, e-mail címét vagy elérhetőségét."
„A felhasználók mindig is választhatták a jumpshot-nal való kommunikációt. 2019 júliusától már megkezdtük a kifejezett választások végrehajtását az antivírusunk minden új letöltésével kapcsolatban, és most engedélyt kérünk a meglévő ingyenes felhasználóinktól is - ez egy folyamat, amely 2020 februárjában fejeződik be”- mondta az Avast szóvivője és hozzátette, hogy a vállalat teljes globális felhasználói bázisa megfelel a kaliforniai fogyasztóvédelmi törvénynek (CCPA) és az általános európai adatvédelmi rendeletnek (GDPR).
"Régóta védjük a felhasználói eszközöket és az adatokat a rosszindulatú programoktól, és megértjük és komolyan vállaljuk a felelősséget a felhasználói adatvédelem és a szükséges adatok felhasználása közötti egyensúly megteremtése mellett" - nyilatkozta a nyilatkozat.
Amikor egy PCMag újságíró ebben a hónapban először telepítette az Avast vírusvédelmi termékét, a program megkérdezte, szeretne-e részt venni az adatgyűjtésben.
„Ha kéri, biztosítja a leányvállalatunk, a Jumpshot Inc. egy dedikált és azonosítatlan adatkészlet, amelyet az Ön böngészési előzményeiből származtatott, hogy a Jumpshot elemezze a piacokat és az üzleti trendeket, és más értékes betekintést gyűjtsön”- mondja az üzenet. A felbukkanó ablakban azonban nem részletezték pontosan, hogyan használja a Jumpshot ezeket az adatokat.
„Az információ teljesen azonosításra és összesítésre került, nem használható személyes azonosításhoz. A Jumpshot megoszthatja az összesített információkat vevőivel”- tette hozzá a felugró ablak.
Frissítés: A vizsgálat kiadását követően az Avast bejelentette, hogy felfüggeszti az adatgyűjtést a Jumpshot használatával.
Írta: Joseph Cox