Antivirová aplikace společnosti Avast prodává „každé vyhledávání“, „každé kliknutí“, „každý nákup na každém navštíveném webu“. Mezi kupující patří Home Depot, Google, Microsoft, Pepsi a McKinsey.
(publikováno se zkratkami)
Antivirový program, který používají stovky milionů lidí na celém světě, prodává osobní údaje o prohlížení webu mnoha největším společnostem na světě. O tom svědčí společné vyšetřování portálové základní desky a PCMag. Materiál je založen na „únikových“dokumentech společnosti, které prokazují, že společnost, která vlastní antivirový program, prodává vysoce důvěrná data.
Dokumenty, které vlastní Jumpshot, dceřiná společnost antivirového gigantu Avast, vrhaly nové světlo na skrytou historii prodeje osobních internetových dat. Antivirus Avast nainstalovaný na osobním počítači shromažďuje data a program Jumpshot je „přebaluje“do různých produktů, které se poté prodávají mnoha největším společnostem na světě. Nákupní seznam obsahuje obři jako Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit a mnoho dalších. Někteří zákazníci zaplatili miliony dolarů za produkty, které obsahují tzv. Kanál pro všechny kliknutí, který může s vysokou přesností sledovat chování uživatelů, kliknutí a navigaci na webových stránkách.
Avast tvrdí, že má přes 435 milionů aktivních uživatelů měsíčně a Jumpshot shromažďuje data ze 100 milionů zařízení. Avast shromažďuje uživatelská data a poté je odesílá do Jumpshot, ale několik uživatelů Avastu řeklo základní desce, že nevěděli, že jsou jejich data sdílena s třetími stranami.
Podle základních desek a PCMag tyto osobní údaje zahrnovaly vyhledávání Google, umístění Map Google a GPS souřadnice, stránky LinkedIn, soukromá videa na YouTube a informace o navštívených pornografických stránkách. Pomocí shromážděného datového fondu je možné určit, kdy anonymní uživatel navštívil YouPorn a PornHub, a v některých případech dokonce vyhledávat a sledovat konkrétní videa.
Přestože datové soubory neobsahují osobní údaje, jako jsou uživatelská jména, stále obsahují mnoho konkrétních údajů a odborníci tvrdí, že není dongonymizovat konkrétní osobu, která je používá, tak obtížné.
V tiskové zprávě vydané v červenci společnost Jumpshot tvrdí, že je „jedinou společností odhalující řadu tajemství“, a zavazuje se „poskytovat obchodníkům hlubší porozumění online aktivit zákazníků“. „Jsou velmi podrobní a velmi zajímavé pro kupující, protože jsou na úrovni zařízení s časovým razítkem,“uvedl zdroj základní desky a citoval specifika a citlivost prodávaných dat.
Propagační video:
Až do nedávné doby Avast shromažďoval provozní data od zákazníků, kteří nainstalovali zásuvný modul prohlížeče vyvinutý společností, aby upozorňoval uživatele na podezřelé webové stránky. Bezpečnostní výzkumník a tvůrce AdBlock Plus, Vladimir Palant, zveřejnil v říjnu blogový příspěvek, v němž tvrdí, že Avast shromažďuje uživatelská data pomocí pluginu. Krátce nato tvůrci prohlížečů Mozilla, Opera a Google odstranili rozšíření Avast ze svých příslušných obchodů. Avast dříve vysvětlil tento sběr a sdílení dat na blogu a fóru v roce 2015. Od té doby Avast údajně přestal posílat data prohlížení shromážděná těmito rozšířeními.
Sběr dat však pokračuje, uvádí zdroj a dokumenty. Místo shromažďování informací pomocí softwaru připojeného k prohlížeči to provádí Avast pomocí samotného antiviru. Minulý týden, měsíce poté, co bylo objeveno pomocí rozšíření prohlížeče k odesílání dat na server Jumpshot, začal Avast požádat své antivirové zákazníky, aby povolili sběr dat. „Pokud uživatelé souhlasí, zařízení začne zaznamenávat veškerou online aktivitu zákazníka,“říká interní produktová příručka.
Základní deska a PCMag kontaktovaly více než dvě desítky společností uvedených v interních spisech. Jen málo lidí odpovědělo na otázky o tom, co dělají s údaji na základě historie prohlížení uživatelů Avastu.
„Někdy využíváme informace od poskytovatelů třetích stran, abychom zlepšili naše podnikání, produkty a služby. Požadujeme, aby tito dodavatelé měli příslušná práva k poskytování těchto informací nám. V tomto případě dostáváme anonymní údaje o publiku, které nelze použít k identifikaci jednotlivých zákazníků, “uvedl mluvčí Home Depot prostřednictvím e-mailu.
Microsoft odmítl komentovat specifika nákupu produktů od společnosti Jumpshot, ale uvedl, že nemá trvalý vztah se společností. Mluvčí Yelpu napsal v e-mailu: „V roce 2018 byl v rámci protimonopolní žádosti o informace požádán tým Yelpu, aby vyhodnotil dopad společnosti Google na místní trh s vyhledávacími nástroji. Jumpshot byl použit současně. “
Společnost Southwest Airlines uvedla, že s Jumpshot diskutovala o partnerství, ale nedosáhla dohody se společností. IBM uvedla, že s Jumpshotem nefunguje, a Altria uvedla, že s Jumpshotem nyní nefunguje, ačkoli to neuvedlo, zda tomu tak bylo dříve. Sephora uvedl, že to s Jumpshotem nefunguje. Google neodpověděl na žádost o komentář.
Jumpshot na svých webových stránkách a v tiskových zprávách jmenuje Pepsi a také poradenské giganty Bain & Company a McKinsey jako klienty.
Kromě společností Expedia, Intuit a Loreal patří mezi další společnosti, které se dosud nezúčastnily veřejných oznámení společnosti Jumpshot, společnost na výrobu kávy Keurig, YouTube vidIQ a Hitwise, společnost zabývající se výzkumem spotřebitelů. Žádná z těchto společností neodpověděla na žádost o komentář.
Jumpshot na svých webových stránkách uvádí některé předchozí případy použití svých dat. Například Condé Nast použil produkty Jumpshot, aby zjistil, zda reklama mediální společnosti vedla k nákupům na Amazonu a jinde. Condé Nast neodpověděl na žádost o komentář.
Společnost Jumpshot prodává různé produkty na základě dat shromážděných antivirovým softwarem Avast nainstalovaným v počítačích uživatelů. Zákazníci v sektoru institucionálních financí často kupují kanály z 10 000 domén, které uživatelé Avastu navštěvují, aby se pokusili zjistit trendy, říká produktový průvodce.
Dalším produktem Jumpshot je tzv. „All Click Feed“. To umožňuje zákazníkovi koupit informace o všech kliknutích, které Jumpshot viděl na konkrétní doméně, jako je Amazon.com, Walmart.com, Target.com, BestBuy.com nebo Ebay.com.
V tweetu zveřejněném minulý měsíc s cílem přilákat nové zákazníky, Jumpshot poznamenal, že shromažďuje „Každé vyhledávání. Každé kliknutí. Informace o každém nákupu na každém webu. “
Data skoku mohou ukázat, že někdo s nainstalovaným Avastem na svém počítači googluje produkt, klikne na odkaz, který vedl k Amazonu, a pak možná přidal položku do svého košíku na jiném webu předtím, než konečně, koupit produkt.
Jednou ze společností, která získala All Clicks, je marketingová firma Omnicom Media Group se sídlem v New Yorku. V rámci smlouvy zaplatil Omnicom v roce 2019 společnosti Jumpshot 2 075 000 $ za přístup k datům. Součástí dohody byl i další produkt s názvem Insight Feed pro 20 různých domén. Poplatky za data v roce 2020 a poté v roce 2021 jsou uvedeny na 2 225 000 a 2 225 000 USD, uvádí dokument.
Jumpshot umožnil Omnicomu přístup ke všem klikacím kanálům ze 14 různých zemí světa, včetně Spojených států, Anglie, Kanady, Austrálie a Nového Zélandu. Produkt také zahrnuje zamýšlené pohlaví uživatelů „na základě chování při prohlížení“, jejich odhadovaný věk a „celý řetězec URL“, ale s odstraněnými informacemi umožňujícími identifikaci osob (PII).
Omnicom neodpověděl na několik žádostí o komentář.
Podle smlouvy je hash „user ID“každého uživatele, což znamená, že společnost kupující data nemusí být schopna určit, kdo přesně je za každým zobrazením. Místo toho mají produkty Jumpshot pomáhat společnostem pochopit, které produkty jsou zvláště populární nebo jak efektivní je reklamní kampaň.
Data Jumpshot však nemohou být zcela anonymní. V interní příručce produktu se uvádí, že ID zařízení se u každého uživatele nemění „pokud uživatel zcela neodinstaluje a znovu nenainstaluje bezpečnostní software“. Četné články a vědecké studie ukázaly, že je možné vystavit lidi pomocí tzv. Anonymních dat. V roce 2006 byli reportéři New York Times schopni identifikovat konkrétní osobu z mezipaměti údajně anonymních vyhledávacích dat, která AOL zveřejnila. Zatímco ověřená data byla více zaměřena na odkazy na sociální média, které Jumpshot upravil, studie z roku 2017 na Stanfordské univerzitě zjistila, že bylo možné identifikovat lidi z anonymních dat online.
Základní deska a PCMag položily společnosti Avast řadu podrobných otázek o tom, jak chrání anonymitu uživatelů, a také požadovaly podrobnosti o některých smlouvách společnosti. Avast neodpověděl na většinu otázek, ale vydal prohlášení: „Prostřednictvím našeho přístupu zajišťujeme, aby společnost Jumpshot nezískala informace umožňující identifikaci osob, včetně jména, e-mailové adresy ani kontaktních údajů lidí, kteří používají náš populární bezplatný antivirový software.“
„Uživatelé měli vždy možnost odhlásit se od komunikace s Jumpshotem. Od července 2019 jsme již začali implementovat explicitní volby pro všechna nová stahování našeho antiviru a nyní také požadujeme souhlas našich stávajících bezplatných uživatelů - proces, který bude dokončen v únoru 2020, “uvedl mluvčí společnosti Avast a dodal, že společnost vyhovuje Kalifornskému zákonu o ochraně spotřebitele (CCPA) a Obecnému evropskému nařízení o ochraně údajů (GDPR) pro celou jeho globální uživatelskou základnu.
"Máme dlouhou historii ochrany uživatelských zařízení a dat před malwarem a chápeme a vážně bereme odpovědnost za vyvážení soukromí uživatelů s nezbytným použitím dat," uvádí se v prohlášení.
Když novinář PCMag poprvé nainstaloval antivirový produkt Avast tento měsíc, program se zeptal, zda se chce podílet na sběru dat.
Pokud budete chtít, zajistíme naši dceřinou společnost Jumpshot Inc. vyhrazený a de-identifikovaný dataset odvozený z vaší historie prohlížení, aby Jumpshot mohl analyzovat trhy a obchodní trendy a shromažďovat další cenné poznatky, “říká zpráva. V rozbalovací nabídce však nebyly podrobně uvedeny podrobnosti o tom, jak program Jumpshot používá tato data.
„Informace jsou kompletně de-identifikovány a agregovány, nelze je použít pro osobní identifikaci. Jumpshot může sdílet agregované informace se svými zákazníky, “dodal vyskakovací okno.
Aktualizace: Po vydání tohoto šetření Avast oznámila, že pozastavuje sběr dat pomocí Jumpshot.
Autor: Joseph Cox