Avastova antivirusna aplikacija prodaje "svaku pretragu", "svaki klik", "svaku kupnju na svakoj web lokaciji koju posjetite." Kupci uključuju Home Depot, Google, Microsoft, Pepsi i McKinsey.
(objavljeno kraticama)
Koristi ga stotine milijuna ljudi širom svijeta, antivirusni program prodaje podatke o osobnom pretraživanju weba mnogim najvećim svjetskim tvrtkama. O tome svjedoči zajednička istraga portala Motherboard i PCMag. Materijal se temelji na "procurjelim" dokumentima tvrtke koji dokazuju da tvrtka koja je vlasnik antivirusa prodaje vrlo povjerljive podatke.
Dokumenti, čiji je vlasnik Jumpshot, podružnica antivirusnog giganta Avast, osvijetlili su skrivenu povijest prodaje osobnih podataka na Internetu. Avast antivirus instaliran na nečijem računalu prikuplja podatke, a Jumpshot ih „prepakira“u različite proizvode koji se potom prodaju mnogim najvećim svjetskim tvrtkama. Popis kupovine uključuje divove kao što su Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit i mnogi drugi. Neki su kupci platili milijune dolara za proizvode koji uključuju takozvani "all-click kanal", koji s velikom točnošću mogu pratiti ponašanje korisnika, klikove i navigaciju na web mjestu.
Avast tvrdi da ima preko 435 milijuna aktivnih korisnika mjesečno, a Jumpshot prikuplja podatke sa 100 milijuna uređaja. Avast prikuplja korisničke podatke i zatim ih dostavlja Jumpshot-u, ali nekoliko Avastovih korisnika je matičnoj ploči reklo da nisu svjesni da se njihovi podaci dijele s trećim stranama.
Prema matičnoj ploči i PCMagu, ti su osobni podaci uključivali Google pretrage, lokacije Google Maps i GPS koordinate, stranice LinkedIn, privatne videozapise na YouTubeu i informacije o posjećenim porno stranicama. Pomoću prikupljenog baze podataka moguće je utvrditi kada je anonimni korisnik posjetio YouPorn i PornHub, a u nekim slučajevima čak i pretraživanja i gledane određene videozapise.
Iako skupovi podataka ne uključuju osobne podatke kao što su korisnička imena, oni još uvijek sadrže puno određenih podataka, a stručnjaci kažu da nije tako teško deanonimizirati određenu osobu koja ih koristi.
U priopćenju objavljenom u srpnju, Jumpshot tvrdi da je "jedina tvrtka koja otkriva niz tajni", te se zalaže za "pružanje trgovcima dubljeg razumijevanja mrežnih aktivnosti kupaca". "Oni su vrlo detaljni i od velikog interesa za kupce jer se nalaze na razini uređaja s vremenskom oznakom", komentirao je izvor matične ploče navodeći specifičnosti i osjetljivost podataka koji se prodaju.
Promotivni video:
Do nedavno je Avast prikupljao podatke o prometu od kupaca koji su instalirali dodatak za preglednik koji je tvrtka razvila kako bi upozorila korisnike na sumnjive web stranice. Istraživač sigurnosti i tvorac AdBlock Plus-a, Vladimir Palant, objavio je blog u listopadu tvrdeći da Avast prikuplja korisničke podatke pomoću dodatka. Ubrzo nakon toga, proizvođači preglednika Mozilla, Opera i Google uklonili su Avastova proširenja iz svojih trgovina. Avast je prethodno objasnio ovo prikupljanje podataka i dijeljenje u blogu i postu na forumu u 2015. godini. Od tada Avast je navodno prestao slati podatke o pregledavanju prikupljene tim ekstenzijama.
Međutim, prikupljanje podataka se nastavlja, navode izvor i dokumenti. Umjesto da prikuplja informacije pomoću softvera spojenog na preglednik, Avast to radi pomoću samog antivirusa. Prošli tjedan, nekoliko mjeseci nakon što je otkriven pomoću proširenja preglednika za slanje podataka na Jumpshot, Avast je počeo tražiti od svojih korisnika antivirusa da omoguće prikupljanje podataka. "Ako se korisnici slažu, uređaj počinje bilježiti sve kupčeve online aktivnosti", kaže se u internom priručniku proizvoda.
Matična ploča i PCMag kontaktirali su više od dva desetaka tvrtki spomenutih u internim podnošenjima. Malo je odgovora na pitanja o tome što im je činiti s podacima na temelju povijesti pregledavanja Avast korisnika.
„Ponekad koristimo informacije trećih pružatelja usluga kako bismo poboljšali naše poslovanje, proizvode i usluge. Tražimo da ti dobavljači imaju odgovarajuća prava za pružanje tih informacija. U ovom slučaju primamo anonimne podatke publike koji se ne mogu koristiti za identifikaciju pojedinačnih kupaca “, rekao je glasnogovornik Home Depota putem e-pošte.
Microsoft je odbio komentirati specifičnosti nabave proizvoda iz Jumpshot-a, ali rekao je da nema stalnu vezu s tvrtkom. Glasnogovornik Yelp-a napisao je u e-poruci: „2018. godine, kao dio antitrustovskog zahtjeva za informacijama, od Yelp-ovog je tima zatraženo da procijeni Googleov utjecaj na lokalno tržište tražilica. U jednom trenutku upotrijebljen je skakač."
Southwest Airlines priopćio je kako je razgovarao o partnerstvu s Jumpshotom, ali da nije postigao dogovor s tvrtkom. IBM je rekao da ne radi s Jumpshotom, a Altria je rekla da sada ne radi s Jumpshotom, iako nije naznačila je li to ranije radila. Sephora je izjavila da to ne djeluje s Jumpshotom. Google nije odgovorio na zahtjev za komentar.
Na svojoj web stranici i u priopćenjima za medije Jumpshot naziva Pepsi kao i klijente savjetovanjem divova Bain & Company i McKinsey.
Pored Expedia, Intuita i Loreala, druge tvrtke koje još nisu predstavljene u javnim objavama Jumpshota uključuju tvrtku za kavu Keurig, YouTube vidIQ i Hitwise, tvrtku za istraživanje potrošača. Nijedna od ovih kompanija nije odgovorila na zahtjev za komentarom.
Na svojoj web stranici Jumpshot navodi neke od prijašnjih slučajeva upotrebe svojih podataka. Na primjer, Condé Nast je koristio Jumpshot proizvode kako bi utvrdio je li oglas medijske tvrtke doveo do kupovine na Amazonu i drugdje. Condé Nast nije odgovorio na zahtjev za komentarom.
Jumpshot prodaje razne proizvode na temelju podataka prikupljenih Avast antivirusnim softverom instaliranim na računalima korisnika. Kupci u institucionalnom financijskom sektoru često kupuju kanale iz 10.000 domena koje korisnici Avasta posjećuju kako bi pokušali uočiti trendove, navodi se u vodiču za proizvod.
Drugi Jumpshot proizvod je tzv. "Sve klikni feed". To omogućuje kupcu da kupi podatke o svim klikovima koje je Jumpshot vidio na određenoj domeni, poput Amazon.com, Walmart.com, Target.com, BestBuy.com ili Ebay.com.
U tvitu objavljenom prošlog mjeseca s ciljem privlačenja novih kupaca, Jumpshot je napomenuo kako prikuplja "Svaku pretragu. Svaki klik. Informacije o svakoj kupnji na svakoj web lokaciji."
Podaci sa skočnog snimka mogu prikazati nekoga s instaliranim Avastom na računalu uz googling proizvoda, kliknite vezu koja je dovela do Amazona, a zatim eventualno dodali artikl u svoju košaricu na drugoj web stranici prije nego što konačno, kupi proizvod.
Jedna od tvrtki koja je kupila All Clicks je marketinška tvrtka Omnicom Media Group sa sjedištem u New Yorku. Omnicom je prema ugovoru platio Jumpshot-u 2.075.000 dolara za pristup podacima u 2019. godini. Dogovor je također uključivao još jedan proizvod pod nazivom Insight Feed za 20 različitih domena. Naknade za podatke u 2020., a zatim u 2021. godini naznačene su na 2.225.000 USD i 2.275.000 USD, kaže se u dokumentu.
Jumpshot je Omnicom omogućio pristup svim klikovnim kanalima iz 14 različitih zemalja svijeta, uključujući Sjedinjene Države, Englesku, Kanadu, Australiju i Novi Zeland. Proizvod također uključuje predviđeni spol korisnika "na temelju ponašanja pregledavanja", njihove procijenjene dobi i "cijelog niza URL-ova", ali uz uklonjene osobne podatke (PII).
Omnicom nije odgovorio na nekoliko zahtjeva za komentar.
Ugovorom, ID korisnika svakog korisnika je usuglašen, što znači da tvrtka koja kupuje podatke ne mora biti u stanju odrediti tko točno stoji iza svakog prikaza. Umjesto toga, proizvodi Jumpshot trebali bi tvrtkama pomoći da shvate koji su proizvodi posebno popularni ili koliko je učinkovita reklamna kampanja.
Podaci s Jumpshot-a ne mogu biti potpuno anonimni. U internom priručniku proizvoda navedeno je da se ID-ovi uređaja ne mijenjaju za svakog korisnika "osim ako korisnik potpuno ne deinstalira i ponovo instalira sigurnosni softver." Brojni članci i znanstvene studije pokazali su da je sasvim moguće razotkriti ljude upotrebom takozvanih anonimnih podataka. 2006. godine novinari New York Timesa uspjeli su identificirati određenu osobu iz predmemorije navodno anonimnih podataka o pretraživanju koje je AOL javno objavio. Iako su ovjereni podaci bili više usredotočeni na veze na društvenim mrežama koje je Jumpshot uređivao, studija iz 2017. na Sveučilištu Stanford otkrila je da je moguće identificirati ljude iz anonimnih podataka na mreži.
Matična ploča i PCMag postavili su Avastu brojna detaljna pitanja o tome kako štiti anonimnost korisnika, a također su tražili detalje o nekim ugovorima tvrtke. Avast nije odgovorio na većinu pitanja, ali izdao je izjavu: "Kroz naš pristup osiguravamo da Jumpshot ne dobije osobne podatke, uključujući ime, adresu e-pošte ili kontakt podatke ljudi koji koriste naš popularni besplatni antivirusni softver."
Korisnici su uvijek imali mogućnost isključivanja komunikacije s Jumpshotom. Od srpnja 2019. već smo započeli s primjenom eksplicitnih izbora za sva nova preuzimanja našeg antivirusa, a sada tražimo i suglasnost naših postojećih besplatnih korisnika - postupak koji će biti dovršen u veljači 2020. “, rekao je glasnogovornik Avasta i dodao da kompanija u skladu je s kalifornijskim Zakonom o zaštiti potrošača (CCPA) i Općom europskom uredbom o zaštiti podataka (GDPR) za cjelokupnu globalnu korisničku bazu.
"Imamo dugu povijest zaštite korisničkih uređaja i podataka od zlonamjernog softvera te razumijemo i shvaćamo ozbiljno odgovornost za uravnoteženje privatnosti korisnika s potrebnom uporabom podataka", kaže se u priopćenju.
Kada je novinar PCMaga ovog mjeseca prvi put instalirao Avastov antivirusni proizvod, program ga je pitao želi li sudjelovati u prikupljanju podataka.
"Ako želite, pružit ćemo našu podružnicu Jumpshot Inc. namjenski i de-identificirani skup podataka proizašao iz vaše povijesti pregledavanja kako bi Jumpshot mogao analizirati tržišta i trendove poslovanja i prikupiti druge vrijedne uvide ", kaže se u poruci. Međutim, skočni prozor nije detaljno objasnio kako Jumpshot koristi te podatke.
"Podaci su potpuno de-identificirani i sakupljeni, ne mogu ih se koristiti za osobnu identifikaciju. Jumpshot može podijeliti sakupljene informacije sa svojim kupcima ", dodao je skočni prozor.
Ažuriranje: Nakon objavljivanja ove istrage, Avast je objavio da obustavlja prikupljanje podataka pomoću Jumpshot-a.
Autor Joseph Cox