Avast antivīrusu lietotne pārdod "katru meklēšanu", "katru klikšķi", "katru pirkumu katrā apmeklētajā vietnē". Pircēju vidū ir Home Depot, Google, Microsoft, Pepsi un McKinsey.
(publicēts ar saīsinājumiem)
Antivīrusu programma, ko izmanto simtiem miljonu cilvēku visā pasaulē, pārdod personiskos tīmekļa pārlūkošanas datus daudziem lielākajiem uzņēmumiem pasaulē. Par to liecina portālu Mātesplate un PCMag kopīga izmeklēšana. Materiāla pamatā ir "noplūduši" uzņēmuma dokumenti, kas pierāda, ka uzņēmums, kuram pieder antivīruss, pārdod ļoti konfidenciālus datus.
Dokumenti, kas pieder antivīrusu giganta Avast meitasuzņēmumam Jumpshot, atklāja jaunu informāciju par slēpto personīgo interneta datu pārdošanas vēsturi. Avast antivīruss, kas instalēts personas datorā, vāc datus, un Jumpshot tos “pārsaiņo” dažādos produktos, kurus pēc tam pārdod daudziem lielākajiem uzņēmumiem pasaulē. Iepirkšanās sarakstā ir tādi giganti kā Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit un daudzi citi. Daži klienti ir samaksājuši miljoniem dolāru par produktiem, kas ietver tā dēvēto “visu klikšķu kanālu”, ar kuru palīdzību ļoti precīzi var izsekot lietotāju rīcībai, klikšķiem un vietņu navigācijai.
Avast apgalvo, ka mēnesī ir vairāk nekā 435 miljoni aktīvo lietotāju, un Jumpshot apkopo datus no 100 miljoniem ierīču. Avast vāc lietotāju datus un pēc tam tos iesniedz Jumpshot, bet vairāki Avast lietotāji mātesplatē sacīja, ka viņi nezina, ka viņu dati tiek koplietoti ar trešajām personām.
Saskaņā ar mātesplati un PCMag šie personīgie dati ietvēra Google meklēšanu, Google Maps atrašanās vietas un GPS koordinātas, LinkedIn lapas, privātos YouTube videoklipus un informāciju par apmeklētajām porno vietnēm. Izmantojot apkopoto datu baseinu, ir iespējams noteikt, kad anonīms lietotājs ir apmeklējis vietnes YouPorn un PornHub, un dažos gadījumos pat meklējis un noskatījies noteiktus videoklipus.
Lai arī datu kopās nav iekļauta personiska informācija, piemēram, lietotājvārdi, tajās joprojām ir daudz specifisku datu, un eksperti saka, ka nav tik grūti dekontimizēt konkrētu personu, kura tos izmanto.
Jūlijā izdotajā preses paziņojumā Jumpshot apgalvo, ka ir "vienīgais uzņēmums, kas atklāj vairākus noslēpumus", un ir apņēmies "sniegt tirgotājiem dziļāku izpratni par klientu darbībām tiešsaistē". "Tie ir ļoti detalizēti un pircējus ļoti interesē, jo atrodas ierīces līmenī ar laika zīmogu," komentēja mātesplates avots, atsaucoties uz pārdoto datu specifiku un jutīgumu.
Reklāmas video:
Vēl nesen Avast vāca trafika datus no klientiem, kuri instalēja uzņēmuma izstrādātu pārlūka spraudni, lai brīdinātu lietotājus par aizdomīgām vietnēm. Drošības pētnieks un AdBlock Plus izveidotājs Vladimirs Palents oktobrī ievietoja emuāra ziņu, apgalvojot, ka Avast apkopo lietotāju datus, izmantojot spraudni. Drīz pēc tam pārlūku veidotāji Mozilla, Opera un Google no attiecīgajiem veikaliem noņēma Avast paplašinājumus. Avast iepriekš skaidroja šo datu apkopošanu un kopīgošanu emuārā un foruma ierakstā 2015. gadā. Kopš tā laika Avast, iespējams, ir pārtraucis pārlūkošanas datu sūtīšanu, kas savākti ar šiem paplašinājumiem.
Tomēr datu vākšana turpinās, norāda avots un dokumenti. Tā vietā, lai apkopotu informāciju, izmantojot programmatūru, kas savienota ar pārlūku, Avast to dara, izmantojot pašu antivīrusu. Pagājušajā nedēļā, mēnešos pēc tam, kad tika atklāts, izmantojot pārlūka paplašinājumus, lai nosūtītu datus Jumpshot, Avast sāka lūgt pretvīrusu klientus atļaut datu vākšanu. “Ja lietotāji tam piekrīt, ierīce sāk reģistrēt visas klienta aktivitātes tiešsaistē,” teikts produkta iekšējā rokasgrāmatā.
Pamatplate un PCMag sazinājās ar vairāk nekā diviem desmitiem uzņēmumiem, kas minēti iekšējos pieteikumos. Tikai daži atbildēja uz jautājumiem par to, ko viņi dara ar datiem, pamatojoties uz Avast lietotāju pārlūkošanas vēsturi.
“Mēs dažreiz izmantojam trešo pušu pakalpojumu sniedzēju informāciju, lai palīdzētu uzlabot mūsu biznesu, produktus un pakalpojumus. Mēs pieprasām, lai šiem piegādātājiem būtu atbilstošas tiesības sniegt mums šo informāciju. Šajā gadījumā mēs saņemam anonīmus auditorijas datus, kurus nevar izmantot, lai identificētu atsevišķus klientus,”pa e-pastu sacīja Home Depot pārstāvis.
Microsoft atteicās komentēt produktu no Jumpshot iegūšanas specifiku, taču paziņoja, ka tai nav pastāvīgu attiecību ar uzņēmumu. Yelp pārstāvis e-pastā rakstīja: “2018. gadā kā pretmonopolu informācijas pieprasījumu Yelp komandai tika lūgts novērtēt Google ietekmi uz vietējo meklētājprogrammu tirgu. Vienlaicīgi tika izmantots momentuzņēmums."
Southwest Airlines paziņoja, ka tā ir apspriedusi partnerību ar Jumpshot, bet nav panākusi vienošanos ar uzņēmumu. IBM paziņoja, ka tas nedarbojas ar Jumpshot, un Altria teica, ka tagad tas nedarbojas ar Jumpshot, lai gan tas nenorādīja, vai tas to darīja iepriekš. Sephora paziņoja, ka tas nedarbojas ar Jumpshot. Google neatbildēja uz komentāru pieprasījumu.
Savā tīmekļa vietnē un paziņojumos presei Jumpshot nosauc Pepsi, kā arī konsultē milžus Bain & Company un McKinsey kā klientus.
Papildus Expedia, Intuit un Loreal citiem uzņēmumiem, kas vēl nav parādīti Jumpshot publiskajos paziņojumos, ir kafijas uzņēmums Keurig, YouTube vidIQ un patērētāju izpētes uzņēmums Hitwise. Neviens no šiem uzņēmumiem neatbildēja uz komentāru pieprasījumu.
Savā vietnē Jumpshot ir uzskaitīti daži iepriekšējie datu izmantošanas gadījumi. Piemēram, Kondijs Nastā izmantoja Jumpshot produktus, lai noskaidrotu, vai mediju uzņēmuma reklāma ir izraisījusi pirkumus Amazon un citur. Kondija Nasta neatbildēja uz komentāru pieprasījumu.
Jumpshot pārdod dažādus produktus, pamatojoties uz datiem, kurus apkopojusi Avast pretvīrusu programmatūra, kas instalēta lietotāju datoros. Institūciju finanšu sektora klienti bieži pērk kanālus no 10 000 domēniem, kurus apmeklē Avast lietotāji, lai mēģinātu pamanīt tendences, teikts produktu ceļvedī.
Vēl viens Jumpshot produkts ir tā sauktā "All Click Feed". Tas ļauj klientam iegādāties informāciju par visiem klikšķiem, kas tiek rādīti Jumpshot noteiktā domēnā, piemēram, Amazon.com, Walmart.com, Target.com, BestBuy.com vai Ebay.com.
Tviterī, kas tika ievietots pagājušajā mēnesī ar mērķi piesaistīt jaunus klientus, Džumpsots atzīmēja, ka viņš apkopo “Katru meklēšanu. Katru klikšķi. Informācija par katru pirkumu katrā vietnē."
Ātruma attēla dati var parādīt, ka kāds ar Avast ir instalēts datorā, meklējot produktu, noklikšķinot uz saites, kas noveda pie Amazon, un pēc tam, iespējams, beidzot pievienojot preci iepirkumu grozam citā vietnē, iegādājieties produktu.
Viens no uzņēmumiem, kas iegādājās All Clicks, ir Ņujorkā bāzēta mārketinga firma Omnicom Media Group. Saskaņā ar līgumu Omnicom samaksāja Jumpshot USD 2 075 000 par piekļuvi datiem 2019. gadā. Darījums ietvēra arī citu produktu ar nosaukumu Insight Feed 20 dažādiem domēniem. Datu maksa 2020. gadā un pēc tam 2021. gadā tiek norādīta attiecīgi USD 2225 000 un USD 2 275 000 apmērā, teikts dokumentā.
Jumpshot deva Omnicom piekļuvi visiem klikšķu kanāliem no 14 dažādām pasaules valstīm, ieskaitot ASV, Angliju, Kanādu, Austrāliju un Jaunzēlandi. Produkts ietver arī paredzēto lietotāju dzimumu, "pamatojoties uz pārlūkošanas paradumiem", viņu paredzamo vecumu un "visu URL virkni", bet ar noņemtu personiski identificējamu informāciju (PII).
Omnicom neatbildēja uz vairākiem komentāru pieprasījumiem.
Pēc līguma tiek sajaukts katra lietotāja “ierīces ID”, kas nozīmē, ka uzņēmumam, kas pērk datus, nav jāspēj noteikt, kurš tieši atrodas aiz katra skata. Tā vietā Jumpshot produktiem vajadzētu palīdzēt uzņēmumiem saprast, kuri produkti ir īpaši populāri vai cik efektīva ir reklāmas kampaņa.
Bet Jumpshot dati nevar būt pilnīgi anonīmi. Iekšējā izstrādājuma rokasgrāmatā teikts, ka ierīces ID katram lietotājam nemainās, "ja vien lietotājs pilnībā neatinstalē un atkārtoti instalē drošības programmatūru". Neskaitāmi raksti un zinātniski pētījumi liecina, ka ir pilnīgi iespējams pakļaut cilvēkus, izmantojot tā sauktos anonīmos datus. 2006. gadā New York Times žurnālisti spēja identificēt konkrētu personu no it kā anonīmu meklēšanas datu kešatmiņas, ko AOL publiski publiskoja. Kaut arī pārbaudītie dati bija vairāk vērsti uz sociālo mediju saitēm, kuras Jumpshot rediģēja, 2017. gada pētījumā Stenfordas universitātē tika atklāts, ka tiešsaistē ir iespējams identificēt cilvēkus no anonīmiem datiem.
Pamatplate un PCMag uzdeva Avast vairākiem detalizētiem jautājumiem par to, kā tā aizsargā lietotāju anonimitāti, kā arī pieprasīja sīkāku informāciju par dažiem uzņēmuma līgumiem. Avast neatbildēja uz lielāko daļu jautājumu, bet izdeva paziņojumu: "Izmantojot mūsu pieeju, mēs nodrošinām, ka Jumpshot nesaņem personiski identificējamu informāciju, tostarp vārdu, e-pasta adresi vai kontaktinformāciju cilvēkiem, kuri izmanto mūsu populāro bezmaksas pretvīrusu programmatūru."
“Lietotājiem vienmēr ir bijusi iespēja atteikties no saziņas ar Jumpshot. Kopš 2019. gada jūlija mēs jau esam sākuši ieviest skaidru izvēli attiecībā uz visām jaunajām mūsu pretvīrusu lejupielādēm, un tagad mēs pieprasām arī piekrišanu no mūsu esošajiem bezmaksas lietotājiem - process, kas tiks pabeigts 2020. gada februārī,”sacīja Avast pārstāvis, piebilstot, ka uzņēmums visā Kalifornijas patērētāju bāzē ievēro Kalifornijas Patērētāju tiesību aizsardzības likumu (CCPA) un Vispārējo Eiropas datu aizsardzības regulu (GDPR).
"Mums ir sena lietotāju ierīču un datu aizsardzības no ļaunprātīgas programmatūras vēsture, un mēs saprotam un nopietni uzņemamies atbildību līdzsvarot lietotāju privātumu un nepieciešamo datu izmantošanu," teikts paziņojumā.
Kad PCMag žurnālists šomēnes pirmo reizi instalēja Avast pretvīrusu produktu, programma jautāja, vai viņš vēlas piedalīties datu vākšanā.
“Ja jūs lūdzu, mēs nodrošināsim mūsu meitasuzņēmumu Jumpshot Inc. no jūsu pārlūkošanas vēstures atvasināta un dedentificēta datu kopa, lai Jumpshot varētu analizēt tirgus un biznesa tendences un apkopot citas vērtīgas atziņas,”teikts ziņojumā. Tomēr uznirstošajā logā nebija precīzi aprakstīts, kā Jumpshot izmanto šos datus.
“Informācija ir pilnībā dedentificēta un apkopota, to nevar izmantot personiskai identificēšanai. Jumpshot var koplietot apkopotu informāciju ar klientiem,”piebilda uznirstošais logs.
Atjauninājums: Pēc šīs izmeklēšanas izlaišanas Avast paziņoja, ka tā pārtrauc datu vākšanu, izmantojot Jumpshot.
Autors: Džozefs Kokss