Как показало совместное расследование Motherboard и PCMag, антивирус Avast, который используется миллионами людей по всему миру, продает конфиденциальные данные своих пользователей крупным компаниям. Утечка внутренних документов доказывает торговлю строго конфиденциальными данными, включая историю браузеров пользователей.
Документы от дочерней компании Avast, под названием Jumpshot, проливают свет на секретную торговлю и цепочки поставок историй браузеров пользователей.
Они показывают, что после установки Avast на свой компьютер, он начинает сбор данных и передает их компании Jumpshot, после чего они продаются многим мировым компаниям таким, как Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit и другим.
До недавнего времени Avast обирал данные с помощью расширения браузера, которое было создано для того, чтобы ограничивать доступ к вредоносным веб сайтам.
Исследователь по кибербезопасности и создатель AdBlock Plus Владимир Палант опубликовал об этом пост в своем блоге. А немного позже Mozilla, Opera и Google Chrome удалили это расширение из своих браузеров.
Ранее Avast уже объяснял этот сбор данных и обмен ими в блоге и на форуме в 2015 году. С тех пор Avast пообещал прекратить отправлять данные просмотра, собранные этими расширениями, в Jumpshot, говорится в заявлении Avast для Motherboard и PCMag.
Однако, сбор данных все же продолжился. Если раньше Avast делал это через расширение браузера, то теперь он стал это делать это через свой антивирус
Издания Motherboard и PCMag связались с более чем двумя десятками компаний, упомянутых во внутренних документах. Лишь немногие ответили на вопросы о том, что они делают с данными, основанными на истории поиска пользователей Avast.
На своем веб-сайте и в пресс-релизах Jumpshot называет клиентами Pepsi и консалтинговых гигантов Bain & Company и McKinsey. Там также перечислены некоторые примеры использования данных об истории просмотра веб страниц. Издательство и цифровой медиа-гигант Condé Nast, например, использовал продукты Jumpshot, чтобы увидеть, приводит ли реклама компании к увеличению продаж на Amazon и в других местах.
Данные Jumpshot могут показать, как кто-то с установленным на компьютере антивирусом Avast искал продукт в Google, переходил по ссылке, ведущей на Amazon, затем, возможно, добавлял товар корзину на каком-то другом веб-сайте, прежде чем совершить покупку.
Согласно копии контракта с Jumpshot, одной из компаний, купивших All Clicks Feed, является маркетинговая фирма Omnicom Media Group из Нью-Йорка. Jumpshot предоставил Omnicom доступ ко всем кликам пользователей из 14 разных стран мира, включая США, Англию, Канаду, Австралию и Новую Зеландию. Данные также включали в себя предполагаемый пол пользователей, их предполагаемый возраст и «полную строку URL-адреса», но с удаленной личной информацией, заявляется в контракте.
Согласно контракту с Omnicom, «идентификатор устройства» каждого пользователя хешируется, а это означает, что компания, покупающая данные, не должна иметь возможность идентифицировать, кто именно стоит за каждым просмотром.
Многочисленные статьи и академические исследования показали, как можно узнать личность человека, используя якобы анонимные данные. Это подтвердили репортеры , а также исследователи из .
Деанонимизация становится куда более серьезной проблемой, если вспомнить о том, что конечные покупатели данных Jumpshot могут объединить их со своими собственными данными.
Когда редактор PCMag впервые установил антивирусный продукт Avast, программа действительно спросила, хотят ли они принять участие в сборе данных.
"Если Вы дадите разрешение, мы предоставим нашей дочерней компании Jumpshot Inc. сбор обезличенных данных, полученных из Вашей истории просмотров, с целью позволить Jumpshot анализировать рынки и бизнес-тенденции и собирать другую ценную информацию", однако во всплывающем окне не было рассказано ничего о том, как именно Jumpshot затем использует эти данные.
Документы от дочерней компании Avast, под названием Jumpshot, проливают свет на секретную торговлю и цепочки поставок историй браузеров пользователей.
Они показывают, что после установки Avast на свой компьютер, он начинает сбор данных и передает их компании Jumpshot, после чего они продаются многим мировым компаниям таким, как Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit и другим.
Пользовательская база Avast составляет около 435 миллионов пользователей и 100 миллионов устройств. Все они подписали пользовательское соглашение предусматривающее сбор данных, но некоторые из пользователей сообщили Motherboard и PCMag, что не знали какие именно данные собираются или, что они вообще собираются.
Возникает вопрос, насколько хорошо были информированы пользователи?
О каких именно данных идет речь? О поисковых запросах в Google, переходах между веб сайтами, GPS координатах с Google Maps, посещений LinkedIn, YouTube и порно сайтов. Хоть эти данные не содержат никаких имен, но на их основе можно с легкостью идентифицировать пользователей.Jumpshot ранее публично упоминала некоторых из своих клиентов, как Expedia, IBM, Intuit, TurboTax, Loreal и Home Depot. Сотрудникам рекомендовали не говорить публично об отношениях Jumpshot с этими компаниями.
До недавнего времени Avast обирал данные с помощью расширения браузера, которое было создано для того, чтобы ограничивать доступ к вредоносным веб сайтам.
Исследователь по кибербезопасности и создатель AdBlock Plus Владимир Палант опубликовал об этом пост в своем блоге. А немного позже Mozilla, Opera и Google Chrome удалили это расширение из своих браузеров.
Ранее Avast уже объяснял этот сбор данных и обмен ими в блоге и на форуме в 2015 году. С тех пор Avast пообещал прекратить отправлять данные просмотра, собранные этими расширениями, в Jumpshot, говорится в заявлении Avast для Motherboard и PCMag.
Однако, сбор данных все же продолжился. Если раньше Avast делал это через расширение браузера, то теперь он стал это делать это через свой антивирус
Издания Motherboard и PCMag связались с более чем двумя десятками компаний, упомянутых во внутренних документах. Лишь немногие ответили на вопросы о том, что они делают с данными, основанными на истории поиска пользователей Avast.
Microsoft отказалась комментировать особенности того, почему она приобретала данные у Jumpshot, но заявила, что сейчас она не имеет отношений с этой компанией. Southwest Airlines заявила, что обсуждала возможность работы с Jumpshot, но компании не достигли соглашения. IBM заявила, что не была клиентом, а Altria заявила, что тоже не работает с Jumpshot, хотя не уточнила, работала ли ранее. Sephora заявила, что не работает с Jumpshot. Компания Google так и не ответила на запрос.
На своем веб-сайте и в пресс-релизах Jumpshot называет клиентами Pepsi и консалтинговых гигантов Bain & Company и McKinsey. Там также перечислены некоторые примеры использования данных об истории просмотра веб страниц. Издательство и цифровой медиа-гигант Condé Nast, например, использовал продукты Jumpshot, чтобы увидеть, приводит ли реклама компании к увеличению продаж на Amazon и в других местах.
All Click Feed
Это не все, был еще один продукт Jumpshot под названием All Click Feed. Он позволяет покупать информацию обо всех кликах, которые Jumpshot регистрировал в определенном домене, например , , , или .Данные Jumpshot могут показать, как кто-то с установленным на компьютере антивирусом Avast искал продукт в Google, переходил по ссылке, ведущей на Amazon, затем, возможно, добавлял товар корзину на каком-то другом веб-сайте, прежде чем совершить покупку.
Согласно копии контракта с Jumpshot, одной из компаний, купивших All Clicks Feed, является маркетинговая фирма Omnicom Media Group из Нью-Йорка. Jumpshot предоставил Omnicom доступ ко всем кликам пользователей из 14 разных стран мира, включая США, Англию, Канаду, Австралию и Новую Зеландию. Данные также включали в себя предполагаемый пол пользователей, их предполагаемый возраст и «полную строку URL-адреса», но с удаленной личной информацией, заявляется в контракте.
Согласно контракту с Omnicom, «идентификатор устройства» каждого пользователя хешируется, а это означает, что компания, покупающая данные, не должна иметь возможность идентифицировать, кто именно стоит за каждым просмотром.
Но данные Jumpshot могут быть не полностью анонимными. Во внутреннем справочнике по продукту говорится, что идентификаторы устройств не меняются для каждого пользователя, если он полностью не удалит и не переустановит программное обеспечение безопасности.
Многочисленные статьи и академические исследования показали, как можно узнать личность человека, используя якобы анонимные данные. Это подтвердили репортеры , а также исследователи из .
Деанонимизация становится куда более серьезной проблемой, если вспомнить о том, что конечные покупатели данных Jumpshot могут объединить их со своими собственными данными.
Временная метка с точностью до миллисекунды может позволить компании, имеющей собственный банк данных о клиентах, видеть, как один пользователь посещает их собственный сайт, а затем следить за ними через другие сайты с помощью Jumpshot.
Журналисты из Motherboard и PCMag задали Avast ряд подробных вопросов о том, как она защищает анонимность пользователей, а также детали некоторых контрактов компании. Avast не ответил на большинство вопросов, но написал в заявлении: "Благодаря нашему подходу мы гарантируем, что Jumpshot не получит никакой идентификационной информации, включая имя, адреса электронной почты или контактные данные, от людей, использующих наше популярное бесплатное антивирусное программное обеспечение".
Также компания заявила, что соблюдает Калифорнийский закон о конфиденциальности потребителей (CCPA) и Европейский регламент по защите данных (GDPR) касательно всей своей пользовательской базы.
Когда редактор PCMag впервые установил антивирусный продукт Avast, программа действительно спросила, хотят ли они принять участие в сборе данных.
"Если Вы дадите разрешение, мы предоставим нашей дочерней компании Jumpshot Inc. сбор обезличенных данных, полученных из Вашей истории просмотров, с целью позволить Jumpshot анализировать рынки и бизнес-тенденции и собирать другую ценную информацию", однако во всплывающем окне не было рассказано ничего о том, как именно Jumpshot затем использует эти данные.
