Aplicația antivirus Avast vinde „fiecare căutare”, „fiecare clic”, „fiecare achiziție de pe fiecare site pe care îl vizitați”. Printre cumpărători se numără Home Depot, Google, Microsoft, Pepsi și McKinsey.
(publicat cu abrevieri)
Folosit de sute de milioane de oameni din întreaga lume, un program antivirus vinde date personale de navigare pe internet pentru multe dintre cele mai mari companii din lume. Acest lucru este demonstrat de o anchetă comună a portalurilor Motherboard și PCMag. Materialul se bazează pe documente ale companiei „scurse” care dovedesc că compania care deține antivirus vinde date extrem de confidențiale.
Documentele, deținute de Jumpshot, o filială a gigantului antivirus Avast, aruncă o nouă lumină asupra istoricului ascuns al vânzării de date personale de pe Internet. Antivirus Avast instalat pe computerul unei persoane colectează date, iar Jumpshot o „reambalează” în diverse produse, care sunt apoi vândute către multe dintre cele mai mari companii din lume. Lista de cumpărături include giganti precum Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit și multe altele. Unii clienți au plătit milioane de dolari pentru produse care includ un așa-numit „canal cu toate clicurile”, care poate urmări comportamentul utilizatorilor, clicurile și navigarea pe site cu o precizie ridicată.
Avast susține că are peste 435 de milioane de utilizatori activi lunar, iar Jumpshot colectează date de la 100 de milioane de dispozitive. Avast colectează datele utilizatorului și apoi le transmite către Jumpshot, dar mai mulți utilizatori Avast au spus plăcii de bază că nu știu că datele lor sunt partajate cu terți.
Conform placii de bază și PCMag, aceste date personale includ căutări Google, locația Google Maps și coordonatele GPS, pagini LinkedIn, videoclipuri private YouTube și informații despre site-urile porno vizitate. Folosind grupul de date colectat, este posibil să determinați când un utilizator anonim a vizitat YouPorn și PornHub, iar în unele cazuri, chiar căutări și videoclipuri specifice vizionate.
Deși seturile de date nu includ informații personale, cum ar fi numele de utilizator, ele conțin în continuare o mulțime de date specifice, iar experții spun că nu este atât de dificil să deanonimizezi o anumită persoană care le folosește.
Într-un comunicat de presă publicat în iulie, Jumpshot susține că este „singura companie care dezvăluie o serie de secrete” și se angajează să „ofere marketerilor o înțelegere mai profundă a activității online a clienților”. „Sunt foarte detaliate și prezintă un interes deosebit pentru cumpărători, deoarece se află la nivelul dispozitivului cu o ștampilă de timp”, a comentat sursa plăcii de bază, citând specificul și sensibilitatea datelor vândute.
Video promotional:
Până de curând, Avast a colectat date despre trafic de la clienții care au instalat un plug-in de browser dezvoltat de companie pentru a avertiza utilizatorii asupra site-urilor web suspecte. Cercetătorul de securitate și creatorul AdBlock Plus, Vladimir Palant, a postat o postare pe blog în octombrie, susținând că Avast colectează datele utilizatorului folosind pluginul. La scurt timp după aceea, producătorii de browser Mozilla, Opera și Google au eliminat extensiile Avast din magazinele respective. Avast a explicat anterior această colectare și partajare a datelor într-un post pe blog și forum în 2015. De atunci, Avast a încetat să mai trimită date de navigare colectate de aceste extensii.
Totuși, colectarea datelor continuă, indică sursa și documentele. În loc să colecteze informații folosind software conectat la browser, Avast o face folosind antivirusul în sine. Săptămâna trecută, luni după ce a fost descoperită folosind extensiile sale de browser pentru a trimite date către Jumpshot, Avast a început să solicite clienților săi antivirus să permită colectarea datelor. „Dacă utilizatorii sunt de acord, dispozitivul începe să înregistreze toată activitatea online a clientului”, spune manualul intern al produsului.
Placa de bază și PCMag au contactat peste două duzini de companii menționate în înregistrările interne. Puțini au răspuns la întrebări despre ce fac cu datele bazate pe istoricul de navigare al utilizatorilor Avast.
„Folosim uneori informații de la furnizori terți pentru a ajuta la îmbunătățirea afacerii, produselor și serviciilor noastre. Solicităm ca acești furnizori să aibă drepturile adecvate pentru a ne furniza aceste informații. În acest caz, primim date de audiență anonime care nu pot fi utilizate pentru a identifica clienți individuali”, a declarat un purtător de cuvânt al Home Depot prin e-mail.
Microsoft a refuzat să comenteze specificul achiziționării de produse de la Jumpshot, dar a spus că nu are o relație continuă cu compania. Un purtător de cuvânt al Yelp a scris într-un e-mail: „În 2018, ca parte a unei cereri antitrust pentru informații, echipa Yelp a fost solicitată să evalueze impactul Google asupra pieței motoarelor de căutare locale. Jumpshot a fost folosit la un moment dat.
Southwest Airlines a declarat că a discutat despre un parteneriat cu Jumpshot, dar că nu a ajuns la un acord cu compania. IBM a spus că nu a funcționat cu Jumpshot și Altria a spus că nu a funcționat cu Jumpshot acum, deși nu a indicat dacă a făcut acest lucru înainte. Sephora a declarat că acest lucru nu funcționează cu Jumpshot. Google nu a răspuns la o cerere de comentariu.
Pe site-ul său și în comunicatele de presă, Jumpshot îi numește pe Pepsi, precum și în consultanța gigantilor Bain & Company și McKinsey în calitate de clienți.
Pe lângă Expedia, Intuit și Loreal, alte companii care nu au fost încă prezentate în anunțurile publice ale Jumpshot includ compania de cafea Keurig, YouTube vidIQ și Hitwise, o firmă de cercetare a consumatorilor. Niciuna dintre aceste companii nu a răspuns la o solicitare de comentarii.
Pe site-ul său, Jumpshot listează câteva dintre cazurile de utilizare anterioare pentru datele sale. De exemplu, Condé Nast a folosit produse Jumpshot pentru a vedea dacă anunțul unei companii de media a dus la achiziții pe Amazon și în alte părți. Condé Nast nu a răspuns la o cerere de comentariu.
Jumpshot vinde diverse produse pe baza datelor colectate de software-ul antivirus Avast instalat pe calculatoarele utilizatorilor. Clienții din sectorul finanțelor instituționale cumpără adesea canale din 10.000 de domenii pe care utilizatorii Avast le vizitează pentru a încerca să identifice tendințele, spune ghidul de produs.
Un alt produs Jumpshot este așa-numitul „All Click Feed”. Acest lucru permite clientului să cumpere informații despre toate clicurile pe care Jumpshot le-a văzut pe un anumit domeniu, cum ar fi Amazon.com, Walmart.com, Target.com, BestBuy.com sau Ebay.com.
Într-un tweet publicat luna trecută cu scopul de a atrage clienți noi, Jumpshot a menționat că colectează „Fiecare căutare. Fiecare clic. Informații despre fiecare achiziție de pe fiecare site."
Datele de la jumping pot arăta pe cineva cu Avast instalat pe computerul său în googling-ul unui produs, faceți clic pe un link care a condus către Amazon și, eventual, a adăugat articolul în coșul său pe un alt site web înainte de final., cumpărați un produs.
Una dintre companiile care au achiziționat All Clicks este firma de marketing din New York, Omnicom Media Group. În cadrul contractului, Omnicom a plătit Jumpshot 2.075.000 USD pentru accesul la date în 2019. Acordul a inclus, de asemenea, un alt produs numit Insight Feed pentru 20 de domenii diferite. Taxele de date în 2020 și apoi în 2021 sunt indicate la 2.225.000 USD și, respectiv, 2.275.000 dolari, spune documentul.
Jumpshot a oferit Omnicom acces la toate canalele de clicuri din 14 țări diferite din întreaga lume, inclusiv Statele Unite, Anglia, Canada, Australia și Noua Zeelandă. Produsul include, de asemenea, genul intenționat al utilizatorilor „bazat pe comportamentul de navigare”, vârsta estimată și „întregul șir URL”, dar cu informații de identificare personală (PII) eliminate.
Omnicom nu a răspuns la mai multe cereri de comentarii.
Prin contract, „ID-ul dispozitivului” fiecărui utilizator este scăpat, ceea ce înseamnă că compania care cumpără datele nu trebuie să poată determina cine este exact în spatele fiecărei vizualizări. În schimb, produsele Jumpshot ar trebui să ajute companiile să înțeleagă care sunt produsele deosebit de populare sau cât de eficientă este o campanie publicitară.
Dar datele Jumpshot nu pot fi complet anonime. Manualul produsului intern prevede că ID-urile dispozitivului nu se modifică pentru fiecare utilizator "decât dacă utilizatorul dezinstalează complet și reinstalează software-ul de securitate." Numeroase articole și studii științifice au arătat că este foarte posibil să expunem oamenii folosind așa-numitele date anonime. În 2006, reporterii din New York Times au putut identifica o persoană specifică dintr-un cache de date de căutare presupus anonime pe care AOL le-a lansat public. În timp ce datele verificate s-au concentrat mai mult pe legăturile de socializare pe care le-a editat Jumpshot, un studiu din 2017 la Universitatea Stanford a descoperit că este posibil să identifice persoanele din datele anonime online.
Placa de bază și PCMag au adresat lui Avast o serie de întrebări detaliate despre cum protejează anonimatul utilizatorilor și au solicitat, de asemenea, detalii despre unele contracte ale companiei. Avast nu a răspuns la majoritatea întrebărilor, dar a emis o declarație: "Prin abordarea noastră, ne asigurăm că Jumpshot nu primește informații de identificare personală, inclusiv numele, adresa de e-mail sau datele de contact ale persoanelor care folosesc popularul nostru software antivirus gratuit."
„Utilizatorii au avut întotdeauna opțiunea de a renunța la comunicarea cu Jumpshot. Începând cu iulie 2019, am început deja să punem în aplicare opțiuni explicite pentru toate descărcările noi ale antivirusului și acum solicităm și acordul utilizatorilor noștri liberi existenți - un proces care va fi finalizat în februarie 2020”, a spus un purtător de cuvânt Avast, care a adăugat că compania respectă Legea privind protecția consumatorilor din California (CCPA) și Regulamentul general european pentru protecția datelor (GDPR) pentru întreaga sa bază de utilizator global.
„Avem o istorie lungă de protejare a dispozitivelor de utilizator și a datelor împotriva programelor malware, și înțelegem și ne asumăm în serios responsabilitatea de a echilibra confidențialitatea utilizatorului cu utilizarea necesară a datelor”, se arată în declarație.
Când un jurnalist PCMag a instalat pentru prima dată produsul antivirus Avast luna aceasta, programul a întrebat dacă dorește să participe la colectarea datelor.
„Dacă vă rog, vă vom oferi filialei noastre Jumpshot Inc. un set de date dedicat și de-identificat derivat din istoricul de navigare, astfel încât Jumpshot poate analiza piețele și tendințele de afaceri și să adune alte informații valoroase”, se arată în mesaj. Cu toate acestea, fereastra pop nu a detaliat exact modul în care Jumpshot folosește aceste date.
„Informațiile sunt complet dezidentificate și agregate, nu pot fi utilizate pentru identificarea personală. Jumpshot poate partaja informații agregate cu clienții săi”, a adăugat un pop-up.
Actualizare: După lansarea acestei investigații, Avast a anunțat că suspendă colectarea datelor folosind Jumpshot.
De Joseph Cox
