Дочерняя компания разработчика антивируса Avast продавала каждый поисковой запрос. Каждое нажатие. Каждую покупку. С каждого сайта. Среди его клиентов были, Google, Microsoft, Pepsi и другие.
Данный эпизод произошел год назад. После расследования, компания Avast заявила, что остановит сбор данных для компании Jumpshot и прекратит все операции с ней в неотложном порядке. Мы перевели эту захватывающую историю целиком и предлагаем вам прочитать и сделать выводы.
Как показало совместное расследование Motherboard и PCMag, антивирус Avast, который используется миллионами людей по всему миру, продает конфиденциальные данные своих пользователей крупным компаниям. Утечка внутренних документов доказывает торговлю строго конфиденциальными данными, включая историю браузеров пользователей.
Документы от дочерней компании Avast, под названием Jumpshot, проливают свет на секретную торговлю и цепочки поставок историй браузеров пользователей. Они показывают, что после установки Avast на свой компьютер, он начинает сбор данных и передает их компании Jumpshot, после чего они продаются многим мировым компаниям таким, как Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit и другим. Некоторые из этих компаний платят миллионы долларов, чтобы получать данные о каждом вашем нажатии, что позволяет им анализировать ваше поведение в сети.
Пользовательская база Avast составляет около 435 миллионов пользователей и 100 миллионов устройств. Все они подписали пользовательское соглашение предусматривающее сбор данных, но некоторые из пользователей сообщили Motherboard и PCMag, что не знали какие именно данные собираются или, что они вообще собираются. Возникает вопрос, насколько хорошо были информированы пользователи?
О каких именно данных идет речь? О поисковых запросах в Google, переходах между веб сайтами, GPS координатах с Google Maps, посещений LinkedIn, YouTube и порно сайтов. Хоть эти данные не содержат никаких имен, но на их основе можно с легкостью идентифицировать пользователей.
В июле компания Jumpshot утверждала, что раскрывает данные, чтобы маркетологи имели более глубокое представление о рынке в Интернете. Jumpshot ранее публично упоминала некоторых из своих клиентов, как Expedia, IBM, Intuit, TurboTax, Loreal и Home Depot. Сотрудникам рекомендовали не говорить публично об отношениях Jumpshot с этими компаниями.
До недавнего времени Avast обирал данные с помощью расширения браузера, которое было создано для того, чтобы ограничивать доступ к вредоносным веб сайтам. Исследователь по кибербезопасности и создатель AdBlock Plus Владимир Палант опубликовал об этом пост в своем блоге. А немного позже Mozilla, Opera и Google Chrome удалили это расширение из своих браузеров. Ранее Avast уже объяснял этот сбор данных и обмен ими в блоге и на форуме в 2015 году. С тех пор Avast пообещал прекратить отправлять данные просмотра, собранные этими расширениями, в Jumpshot, говорится в заявлении Avast для Motherboard и PCMag.
Однако, сбор данных все же продолжился. Если раньше Avast делал это через расширение браузера, то теперь он стал это делать это через свой антивирус
Издания Motherboard и PCMag связались с более чем двумя десятками компаний, упомянутых во внутренних документах. Лишь немногие ответили на вопросы о том, что они делают с данными, основанными на истории поиска пользователей Avast.
"Иногда мы используем информацию от сторонних поставщиков, чтобы улучшить наш бизнес, продукты и услуги. Мы требуем, чтобы эти поставщики имели соответствующие права на передачу нам этой информации. В этом случае мы получаем анонимные данные о пользователях, которые нельзя использовать для идентификации отдельных клиентов", - написал представитель Home Depot в заявлении по электронной почте.
Microsoft отказалась комментировать особенности того, почему она приобретала данные у Jumpshot, но заявила, что сейчас она не имеет отношений с этой компанией. Southwest Airlines заявила, что обсуждала возможность работы с Jumpshot, но компании не достигли соглашения. IBM заявила, что не была клиентом, а Altria заявила, что тоже не работает с Jumpshot, хотя не уточнила, работала ли ранее. Sephora заявила, что не работает с Jumpshot. Компания Google так и не ответила на запрос.
На своем веб-сайте и в пресс-релизах Jumpshot называет клиентами Pepsi и консалтинговых гигантов Bain & Company и McKinsey. Там также перечислены некоторые примеры использования данных об истории просмотра веб страниц. Издательство и цифровой медиа-гигант Condé Nast, например, использовал продукты Jumpshot, чтобы увидеть, приводит ли реклама компании к увеличению продаж на Amazon и в других местах.
All Click Feed
Это не все, был еще один продукт Jumpshot под названием All Click Feed. Он позволяет покупать информацию обо всех кликах, которые Jumpshot регистрировал в определенном домене, например Amazon.com, Walmart.com, Target.com, BestBuy.com или Ebay.com.
Данные Jumpshot могут показать, как кто-то с установленным на компьютере антивирусом Avast искал продукт в Google, переходил по ссылке, ведущей на Amazon, затем, возможно, добавлял товар корзину на каком-то другом веб-сайте, прежде чем совершить покупку.
Согласно копии контракта с Jumpshot, одной из компаний, купивших All Clicks Feed, является маркетинговая фирма Omnicom Media Group из Нью-Йорка. Jumpshot предоставил Omnicom доступ ко всем кликам пользователей из 14 разных стран мира, включая США, Англию, Канаду, Австралию и Новую Зеландию. Данные также включали в себя предполагаемый пол пользователей, их предполагаемый возраст и «полную строку URL-адреса», но с удаленной личной информацией, заявляется в контракте.
Согласно контракту с Omnicom, «идентификатор устройства» каждого пользователя хешируется, а это означает, что компания, покупающая данные, не должна иметь возможность идентифицировать, кто именно стоит за каждым просмотром. Вместо этого продукты Jumpshot должны помогать компаниям узнавать, какие продукты особенно популярны или насколько эффективна их рекламная кампания.
Но данные Jumpshot могут быть не полностью анонимными. Во внутреннем справочнике по продукту говорится, что идентификаторы устройств не меняются для каждого пользователя, если он полностью не удалит и не переустановит программное обеспечение безопасности. Многочисленные статьи и академические исследования показали, как можно узнать личность человека, используя якобы анонимные данные. Это подтвердили репортеры New York Times в 2006 году, а также исследователи из Стэндфордского университета в 2017 году.
Деанонимизация становится куда более серьезной проблемой, если вспомнить о том, что конечные покупатели данных Jumpshot могут объединить их со своими собственными данными.
"Большинство угроз, создаваемых деанонимизацией, исходит из способности объединять информацию с другими данными".
Временная метка с точностью до миллисекунды может позволить компании, имеющей собственный банк данных о клиентах, видеть, как один пользователь посещает их собственный сайт, а затем следить за ними через другие сайты с помощью Jumpshot.
"Обезличить данные практически невозможно, - сказал Эрик Голдман, профессор юридического факультета Университета Санта-Клары.
Журналисты из Motherboard и PCMag задали Avast ряд подробных вопросов о том, как она защищает анонимность пользователей, а также детали некоторых контрактов компании. Avast не ответил на большинство вопросов, но написал в заявлении: "Благодаря нашему подходу мы гарантируем, что Jumpshot не получит никакой идентификационной информации, включая имя, адреса электронной почты или контактные данные, от людей, использующих наше популярное бесплатное антивирусное программное обеспечение".
"У нас большой опыт защиты устройств и данных пользователей от вредоносных программ, и мы понимаем и серьезно относимся к ответственности за балансирование конфиденциальности пользователей с необходимым использованием данных », - говорится в заявлении.
Также компания заявила, что соблюдает Калифорнийский закон о конфиденциальности потребителей (CCPA) и Европейский регламент по защите данных (GDPR) касательно всей своей пользовательской базы.
Когда редактор PCMag впервые установил антивирусный продукт Avast, программа действительно спросила, хотят ли они принять участие в сборе данных.
"Если Вы дадите разрешение, мы предоставим нашей дочерней компании Jumpshot Inc. сбор обезличенных данных, полученных из Вашей истории просмотров, с целью позволить Jumpshot анализировать рынки и бизнес-тенденции и собирать другую ценную информацию", однако во всплывающем окне не было рассказано ничего о том, как именно Jumpshot затем использует эти данные.
UPD: Официальный ответ от компании AvastПо материалам Vice и PCMag
«Avast закрыла компанию Jumpshot в январе 2020 года, тем самым прекратив передачу данных. Наша цель —- сделать Интернет более безопасным и защищать персональную информацию людей. Поэтому в 2020 году мы предприняли шаги по улучшению защиты данных, наняли директора по вопросам конфиденциальности, который продолжает продвигать нашу стратегию защиты данных и обмениваться опытом с такими организациями как TOR и Future of Privacy Forum. Наша политика конфиденциальности получила сертификат TRUSTe. В будущем мы будем и дальше предпринимать действия по обеспечению приватности пользователей»
Изображение на обложке: Monika Kovacs
Подписывайся на Эксплойт в Telegram, чтобы не пропустить новые компьютерные трюки, хитрости смартфонов и секреты безопасности в интернете.
Join the conversation.