Антивирусното приложение на Avast продава „всяко търсене“, „всяко щракване“, „всяка покупка на всеки сайт, който посещавате“. Купувачите включват Home Depot, Google, Microsoft, Pepsi и McKinsey.
(публикувано със съкращения)
Използвана от стотици милиони хора по света, антивирусна програма продава лични данни за сърфиране в интернет на много от най-големите компании в света. Това се доказва от съвместно разследване от порталите Motherboard и PCMag. Материалът се основава на „изтекли“документи на компанията, които доказват, че компанията, която е собственик на антивируса, продава силно поверителни данни.
Документите, собственост на Jumpshot, филиал на антивирусния гигант Avast, хвърлиха нова светлина върху скритата история на продажбите на лични интернет данни. Антивирусът Avast, инсталиран на компютъра на човек, събира данни, а Jumpshot го „преопакова“в различни продукти, които след това се продават на много от най-големите компании в света. Списъкът за пазаруване включва гиганти като Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit и много други. Някои клиенти са платили милиони долари за продукти, които включват така наречения „канал с всички кликвания“, който може да проследява поведението на потребителите, кликванията и навигацията по уебсайта с висока точност.
Avast твърди, че има над 435 милиона активни потребители месечно, а Jumpshot събира данни от 100 милиона устройства. Avast събира потребителски данни и след това ги изпраща на Jumpshot, но няколко потребители на Avast са казали на дънната платка, че не знаят дали данните им се споделят с трети страни.
Според Motherboard и PCMag, тези лични данни включват търсения с Google, местоположения в Google Maps и GPS координати, страници LinkedIn, частни видеоклипове в YouTube и информация за посещавани порно сайтове. С помощта на събрания пул от данни е възможно да се определи кога анонимен потребител е посетил YouPorn и PornHub, а в някои случаи дори търсения и гледани конкретни видеоклипове.
Въпреки че наборите от данни не включват лична информация като потребителски имена, те все още съдържат много конкретни данни, а експертите казват, че не е толкова трудно деанонимизирането на конкретен човек, който ги използва.
В съобщение за печата, публикувано през юли, Jumpshot твърди, че е "единствената компания, която разкрива редица тайни", и се ангажира да "предоставя на маркетолозите по-задълбочено разбиране за онлайн активността на клиентите". „Те са много подробни и представляват голям интерес за купувачите, защото са на нивото на устройството с печат на времето“, коментира източникът на Motherboard, позовавайки се на спецификите и чувствителността на данните, които се продават.
Промоционално видео:
Доскоро Avast събираше данни за трафика от клиенти, инсталирали плъгин за браузър, разработен от компанията, за да предупреждава потребителите на подозрителни уебсайтове. Изследователят по сигурността и създател на AdBlock Plus, Владимир Палант, публикува публикация в блог през октомври, твърдейки, че Avast събира потребителски данни, използвайки плъгина. Малко след това производителите на браузъри Mozilla, Opera и Google премахнаха разширенията на Avast от съответните си магазини. Преди това Avast обясни това събиране и споделяне на данни в блог и публикация на форума през 2015 г. Оттогава Avast е спрял да изпраща данни за сърфиране, събрани от тези разширения.
Събирането на данни обаче продължава, сочат източникът и документите. Вместо да събира информация, използвайки софтуер, свързан към браузъра, Avast го прави, използвайки самия антивирус. Миналата седмица, месеци след като бе открита, използвайки разширенията на браузъра си, за да изпраща данни на Jumpshot, Avast започна да моли своите антивирусни клиенти да разрешат събирането на данни. „Ако потребителите се съгласят, устройството започва да записва цялата онлайн активност на клиента“, се казва във вътрешното ръководство на продукта.
Дънна платка и PCMag се свързаха с повече от две дузини компании, споменати във вътрешни файлове. Малко отговориха на въпроси какво правят с данните въз основа на историята на сърфиране на потребителите на Avast.
„Понякога използваме информация от трети доставчици, за да помогнем за подобряване на нашия бизнес, продукти и услуги. Изискваме тези доставчици да имат съответните права да ни предоставят тази информация. В този случай получаваме анонимни данни за аудиторията, които не могат да бъдат използвани за идентифициране на отделни клиенти “, заяви говорител на Home Depot чрез имейл.
Microsoft отказа да коментира спецификата на придобиването на продукти от Jumpshot, но заяви, че няма постоянни отношения с компанията. Говорител на Yelp написа в имейл: „През 2018 г., като част от антимонополно искане за информация, от екипа на Yelp беше помолен да оцени влиянието на Google върху местния пазар на търсачки. В момента е използван Jumpshot."
Southwest Airlines заяви, че е обсъдила партньорство с Jumpshot, но не е постигнала споразумение с компанията. IBM каза, че не работи с Jumpshot, а Altria заяви, че не работи с Jumpshot сега, въпреки че не е посочила дали е направила това преди. Сефора заяви, че това не работи с Jumpshot. Google не отговори на заявка за коментар.
На своя уебсайт и в прессъобщения Jumpshot назовава Pepsi, както и консултантски гиганти Bain & Company и McKinsey като клиенти.
В допълнение към Expedia, Intuit и Loreal, други компании, които все още не са включени в публичните съобщения на Jumpshot, включват кафе компанията Keurig, YouTube vidIQ и Hitwise, фирма за проучване на потребителите. Нито една от тези компании не отговори на искане за коментар.
На своя уебсайт Jumpshot изброява някои от предишните случаи на използване на своите данни. Например Condé Nast използва Jumpshot продукти, за да провери дали рекламата на медийната компания води до покупки в Amazon и другаде. Condé Nast не отговори на искане за коментар.
Jumpshot продава различни продукти въз основа на данни, събрани от антивирусен софтуер Avast, инсталиран на компютрите на потребителите. Клиентите в сектора на институционалните финанси често купуват канали от 10 000 домейна, които потребителите на Avast посещават, за да опитат да забележат тенденциите, се казва в ръководството за продукта.
Друг продукт на Jumpshot е т. Нар. „All Feed Feed“. Това позволява на клиента да купува информация за всички кликове, които Jumpshot е виждал в конкретен домейн като Amazon.com, Walmart.com, Target.com, BestBuy.com или Ebay.com.
В туит, публикуван миналия месец с цел привличане на нови клиенти, Jumpshot отбеляза, че събира „Всяко търсене. Всяко щракване. Информация за всяка покупка на всеки сайт."
Данните от Jumpshot могат да покажат някой с Avast инсталиран на компютъра си googling за продукт, щракване върху връзка, довела до Amazon, а след това евентуално добавяне на продукта в кошницата им на друг уебсайт, преди най-накрая, купете продукт.
Една от компаниите, закупили All Clicks, е базираната в Ню Йорк маркетингова фирма Omnicom Media Group. Съгласно договора Omnicom плати Jumpshot 2 075 000 долара за достъп до данни през 2019 г. Сделката включваше и друг продукт, наречен Insight Feed за 20 различни домена. Таксите за данни през 2020 г. и след това през 2021 г. са посочени съответно на 2,225 000 долара и 2,275 000 долара, се казва в документа.
Jumpshot предостави на Omnicom достъп до всички канали за щракване от 14 различни страни по света, включително САЩ, Англия, Канада, Австралия и Нова Зеландия. Продуктът включва също предвидения пол на потребителите „въз основа на поведението на сърфиране“, прогнозната им възраст и „целия URL низ“, но с премахната лична информация (PII).
Omnicom не отговори на няколко искания за коментар.
По договор „ID на устройството“на всеки потребител се хешира, което означава, че компанията, купуваща данните, не трябва да може да определи кой точно стои зад всеки изглед. Вместо това продуктите Jumpshot трябва да помогнат на компаниите да разберат кои продукти са особено популярни или колко ефективна е рекламната кампания.
Данните от Jumpshot обаче не могат да бъдат напълно анонимни. Във вътрешното ръководство на продукта се посочва, че идентификационните номера на устройства не се променят за всеки потребител, „освен ако потребителят не деинсталира и преинсталира софтуера за сигурност“. Многобройни статии и научни изследвания показват, че е напълно възможно да се разобличат хората, използващи така наречените анонимни данни. През 2006 г. репортерите на New York Times успяха да идентифицират конкретно лице от кеш на уж анонимни данни за търсене, които AOL публикува публично. Докато проверените данни бяха по-фокусирани върху връзките в социалните медии, които Jumpshot редактира, проучване от 2017 г. в университета в Станфорд установи, че е възможно да се идентифицират хора от анонимни данни онлайн.
Дъната и PCMag зададоха на Avast редица подробни въпроси за това как защитава анонимността на потребителите, а също така поискаха подробности за някои от договорите на компанията. Avast не отговори на повечето въпроси, но издаде изявление: "Чрез нашия подход гарантираме, че Jumpshot не получава лично идентифицираща информация, включително име, имейл адрес или данни за контакт на хора, използващи популярния ни безплатен антивирусен софтуер."
„Потребителите винаги са имали възможност да се откажат от комуникация с Jumpshot. От юли 2019 г. вече започнахме да прилагаме категоричен избор за всички нови изтегляния на нашия антивирус и сега също искаме съгласие от съществуващите ни безплатни потребители - процес, който ще бъде завършен през февруари 2020 г. “, заяви говорител на Avast и добави, че компанията спазва Калифорнийския закон за защита на потребителите (CCPA) и Общия европейски регламент за защита на данните (GDPR) за цялата му глобална потребителска база.
„Имаме дълга история на защита на потребителските устройства и данни от злонамерен софтуер и разбираме и поемаме сериозно отговорността да балансираме поверителността на потребителите с необходимото използване на данни“, се казва в изявлението.
Когато този журналист от PCMag за първи път инсталира антивирусния продукт на Avast този месец, програмата го попита дали иска да участва в събирането на данни.
„Ако желаете, ние ще предоставим нашата дъщерна компания Jumpshot Inc. специален и де-идентифициран набор от данни, получен от историята на сърфирането ви, за да може Jumpshot да анализира пазарите и бизнес тенденциите и да събира други ценни данни “, се казва в съобщението. Изскачащият прозорец обаче не уточни как точно Jumpshot използва тези данни.
„Информацията е напълно де-идентифицирана и обобщена, не може да се използва за лична идентификация. Jumpshot може да споделя обобщена информация с клиентите си “, добавя изскачащ прозорец.
Актуализация: След пускането на това разследване, Avast обяви, че преустановява събирането на данни с помощта на Jumpshot.
От Джоузеф Кокс
