Avast viirusetõrjerakendus müüb "iga otsingut", "iga klõpsu", "iga ostu igal külastatud saidil". Ostjate hulka kuuluvad Home Depot, Google, Microsoft, Pepsi ja McKinsey.
(avaldatud lühenditega)
Sajad miljonid inimesed kogu maailmas kasutanud viirusetõrjeprogramm müüb isiklikke veebisirvimisandmeid paljudele maailma suurimatele ettevõtetele. Selle tõestuseks on portaalide Emaplaat ja PCMag ühine uurimine. Materjal põhineb "lekkinud" ettevõtte dokumentidel, mis tõendavad, et viirusetõrjet omav ettevõte müüb väga konfidentsiaalseid andmeid.
Viirusetõrje hiiglase Avast tütarettevõttele Jumpshot kuuluvad dokumendid heidavad uut valgust isiklike Interneti-andmete müümise varjatud ajaloole. Inimese arvutisse installitud viirusetõrje Avast kogub andmeid ja Jumpshot pakendab selle erinevatesse toodetesse, mida müüakse seejärel paljudele maailma suurimatele ettevõtetele. Ostunimekirjas on sellised hiiglased nagu Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit ja paljud teised. Mõned kliendid on maksnud miljoneid dollareid toodete eest, mis sisaldavad niinimetatud klõpsamiskanalit, mis võimaldab suure täpsusega jälgida kasutajate käitumist, klõpse ja veebisaidil navigeerimist.
Avast väidab, et tal on üle 435 miljoni aktiivse kasutaja kuus ja Jumpshot kogub andmeid 100 miljoni seadme kohta. Avast kogub kasutaja andmeid ja edastab need seejärel Jumphotile, kuid mitmed Avast'i kasutajad ütlesid emaplaadile, et nad ei olnud teadlikud oma andmete jagamisest kolmandate osapooltega.
Emaplaadi ja PCMagi andmetel sisaldasid need isikuandmed Google'i otsinguid, Google Mapsi asukohti ja GPS-koordinaate, LinkedIni lehti, privaatseid YouTube'i videoid ja teavet külastatud pornosaitide kohta. Kogutud andmekogu abil on võimalik kindlaks teha, millal on anonüümne kasutaja külastanud YouPornit ja PornHubi ning mõnel juhul isegi otsinud ja konkreetseid videoid vaadanud.
Ehkki andmekogumid ei sisalda isiklikku teavet, näiteks kasutajanimesid, sisaldavad need siiski palju spetsiifilisi andmeid ja ekspertide sõnul pole neid kasutava konkreetse inimese deanonüümimine nii keeruline.
Juulis avaldatud pressiteates väidab Jumpshot, et on "ainus ettevõte, kes paljastab mitmeid saladusi" ja on pühendunud ", et pakkuda turundajatele sügavamat arusaamist klientide veebitegevusest". "Need on väga detailsed ja pakuvad ostjatele suurt huvi, kuna nad asuvad seadme tasemel templiga," kommenteeris emaplaadi allikas, viidates müüdavate andmete eripäradele ja tundlikkusele.
Reklaamvideo:
Alles hiljuti kogus Avast liiklusandmeid klientidelt, kes paigaldasid ettevõtte poolt välja töötatud brauseri pistikprogrammi, et hoiatada kasutajaid kahtlastest veebisaitidest. Turbeuurija ja AdBlock Plussi looja Vladimir Palant postitas oktoobris ajaveebi, milles väitis, et Avast kogub kasutaja andmeid pistikprogrammi abil. Vahetult pärast seda eemaldasid brauseritootjad Mozilla, Opera ja Google Avast laiendused oma vastavatest poodidest. Avast selgitas seda andmete kogumist ja jagamist varem ajaveebi- ja foorumipostituses 2015. aastal. Pärast seda on Avast väidetavalt lõpetanud nende laienduste abil kogutud sirvimisandmete saatmise.
Andmete kogumine aga jätkub, viitavad allikad ja dokumendid. Selle asemel, et brauseriga ühendatud tarkvara abil teavet koguda, kasutab Avast seda ise viirusetõrje abil. Eelmisel nädalal, mitu kuud pärast seda, kui avastati, et see kasutab oma brauserilaiendusi andmete edastamiseks Jumpshotile, hakkas Avast oma viirusetõrjeklientidelt andmete kogumist lubama. “Kui kasutajad on sellega nõus, hakkab seade registreerima kogu kliendi veebitegevust,” öeldakse toote sisemises juhendis.
Emaplaat ja PCMag võtsid ühendust enam kui kahe tosina ettevõttega, mida mainiti sisetehingutes. Vähesed vastasid küsimustele, mida nad teevad andmetega, mis põhinevad Avast'i kasutajate sirvimisajalool.
„Mõnikord kasutame oma ettevõtte, toodete ja teenuste parendamiseks kolmandatelt pakkujatelt saadud teavet. Nõuame, et neil tarnijatel oleksid sobivad andmed selle teabe meile edastamiseks. Sel juhul saame anonüümseid vaatajaskonna andmeid, mida ei saa kasutada üksikute klientide tuvastamiseks, “ütles Home Depot pressiesindaja e-posti teel.
Microsoft keeldus kommenteerimast Jumpshotilt toodete ostmise spetsiifikat, kuid ütles, et tal pole selle ettevõttega pidevat suhet. Yelpi pressiesindaja kirjutas meilis: „Aastal 2018 paluti monopolidevastase teabenõude osana Yelpi meeskonnal hinnata Google'i mõju kohalikule otsingumootoriturule. Korda kasutati kiiret pilti."
Southwest Airlines teatas, et on arutanud partnerlust Jumpshotiga, kuid ei ole jõudnud selle ettevõttega kokkuleppele. IBM teatas, et see ei tööta koos Jumpshotiga, ja Altria ütles, et see ei tööta nüüd koos Jumpshotiga, ehkki ta ei osutanud, kas ta seda varem tegi. Sephora väitis, et see ei toimi Jumpshotiga. Google ei vastanud kommentaaritaotlusele.
Oma veebisaidil ja pressiteadetes nimetab Jumpshot klientideks Pepsi, samuti nõustavad hiiglased Bain & Company ja McKinsey.
Lisaks Expediale, Intuitile ja Lorealile kuuluvad teiste ettevõtete hulka, mida Jumpshoti avalikes teadaannetes veel ei kajastatud, hulka kohvifirma Keurig, YouTube vidIQ ja tarbijauuringute firma Hitwise. Ükski neist ettevõtetest ei vastanud kommentaaritaotlusele.
Jumpshot loetleb oma veebisaidil oma andmete jaoks mõned varasema kasutamise juhtumid. Näiteks kasutas Condé Nast Jumpshot tooteid, et näha, kas meediaettevõtte reklaam tõi kaasa ostud Amazonist ja mujalt. Condé Nast ei vastanud kommentaaritaotlusele.
Jumpshot müüb erinevaid tooteid, mis põhinevad kasutajate arvutitesse installitud viirustõrjetarkvara Avast kogutud andmetel. Institutsioonilise finantssektori kliendid ostavad sageli kanaleid 10 000 domeenilt, mida Avast'i kasutajad külastavad, et proovida suundumusi märgata, öeldakse tootejuhendis.
Teine hüpikpildi toode on niinimetatud "kõigi klõpsude voog". See võimaldab kliendil osta teavet kõigi klikkide kohta, mida Jumpshot on näinud konkreetses domeenis, näiteks Amazon.com, Walmart.com, Target.com, BestBuy.com või Ebay.com.
Eelmisel kuul postitatud säutsuga, mille eesmärk oli meelitada uusi kliente, märkis Jumpshot, et kogub „Iga otsing. Iga klõps. Teave iga saidi iga ostu kohta."
Kiirpildiandmed võivad näidata kedagi, kelle Avast on installitud arvutisse toodet googeldama, klõpsama Amazonile viinud lingil ja siis võib-olla siis üksuse lisama oma ostukorvi mõnele muule veebisaidile, ostke toode.
Üks All Clicksi soetanud ettevõtetest on New Yorgis asuv turundusettevõte Omnicom Media Group. Lepingu alusel maksis Omnicom Jumpshotile andmetele juurdepääsu eest 2019. aastal 2 075 000 dollarit. Tehing sisaldas ka teist toodet nimega Insight Feed 20 erinevale domeenile. Andmetasudeks on 2020. aastal ja siis 2021. aastal märgitud vastavalt 2225 000 ja 2275 000 dollarit, öeldakse dokumendis.
Jumphot andis Omnicomile juurdepääsu kõigile klõpsukanalitele 14 erinevast riigist üle maailma, sealhulgas USAst, Inglismaalt, Kanadast, Austraaliast ja Uus-Meremaalt. Toode sisaldab ka kasutajate kavandatud sugu "sirvimiskäitumise põhjal", nende eeldatavat vanust ja "kogu URL-i stringi", kuid koos isikutuvastatava teabega (PII) on eemaldatud.
Omnicom ei vastanud mitmetele kommentaaritaotlustele.
Lepingu järgi on räsitud iga kasutaja „seadme ID”, mis tähendab, et andmeid ostv ettevõte ei pea suutma kindlaks teha, kes täpselt on iga vaate taga. Selle asemel peaksid Jumpshot tooted aitama ettevõtetel mõista, millised tooted on eriti populaarsed või kui tõhus on reklaamikampaania.
Kuid kiire pildi andmed ei saa olla täiesti anonüümsed. Toote sisemises juhendis öeldakse, et seadme ID-d ei muutu iga kasutaja jaoks "enne, kui kasutaja turvatarkvara täielikult desinstallib ja uuesti installib". Arvukad artiklid ja teaduslikud uuringud on näidanud, et on täiesti võimalik paljastada inimesi niinimetatud anonüümsete andmete abil. New York Timesi reporterid suutsid 2006. aastal tuvastada konkreetse isiku väidetavalt anonüümsete otsinguandmete vahemälust, mille AOL avalikult väljastas. Kui kontrollitud andmed olid keskendunud rohkem sotsiaalmeedia linkidele, mida Jumpshot redigeeris, leidis Stanfordi ülikoolis tehtud 2017. aasta uuring, et anonüümsete andmete põhjal on võimalik inimesi veebis tuvastada.
Emaplaat ja PCMag küsisid Avastilt mitmeid üksikasjalikke küsimusi selle kohta, kuidas see kasutajate anonüümsust kaitseb, ning küsisid üksikasju ka mõne ettevõtte lepingu kohta. Avast ei vastanud enamikule küsimustele, kuid andis välja avalduse: "Oma lähenemise kaudu tagame, et Jumpshot ei saa isikut tuvastavat teavet, sealhulgas meie populaarset tasuta viirusetõrjetarkvara kasutavate inimeste nimesid, e-posti aadresse või kontaktandmeid."
„Kasutajatel on alati olnud võimalus loobuda hüpikpildiga suhtlemisest. Alates 2019. aasta juulist oleme juba hakanud viirusetõrje kõigi uute allalaadimiste jaoks selgesõnalisi valikuid rakendama ja nüüd taotleme nõusolekut ka oma olemasolevatelt tasuta kasutajatelt - protsess, mis viiakse lõpule 2020. aasta veebruaris, “ütles Avast pressiesindaja ja lisas, et ettevõte järgib kogu oma globaalse kasutajaskonna jaoks California tarbijakaitseseadust (CCPA) ja Euroopa üldist andmekaitsemäärust (GDPR).
"Meil on kasutajaseadmete ja andmete kaitsmine pahavara eest pikk ajalugu ning mõistame ja võtame tõsiselt vastutust tasakaalustada kasutajate privaatsust vajaliku andmete kasutamisega," seisis avalduses.
Kui PCMagi ajakirjanik paigaldas sel kuul esmakordselt Avast viirusetõrjetoote, küsis programm, kas ta soovib andmete kogumises osaleda.
„Kui soovite, pakume tütarettevõttele Jumpshot Inc. teie sirvimisajaloost tulenev spetsiaalne ja tuvastamata andmestik, et Jumpshot saaks analüüsida turge ja ärisuundumusi ning koguda muud väärtuslikku teavet,”seisab sõnumis. Kuid hüpik ei täpsustanud täpselt, kuidas Jumpshot neid andmeid kasutab.
„Teave on täielikult tuvastamata ja koondatud, seda ei saa isikutuvastuseks kasutada. Jumphot saab jagada koondatud teavet oma klientidega,”lisas hüpik.
Uuendus: pärast selle uurimise avaldamist teatas Avast, et peatab andmete kogumise Jumpshoti abil.
Autor: Joseph Cox
