Antivirusinė programa „Avast“parduoda „kiekvieną paiešką“, „kiekvieną paspaudimą“, „kiekvieną pirkimą kiekvienoje jūsų lankomoje svetainėje“. Pirkėjų yra „Home Depot“, „Google“, „Microsoft“, „Pepsi“ir „McKinsey“.
(skelbiama sutrumpinimais)
- „Salik.biz“
Antivirusinė programa, kuria naudojasi šimtai milijonų žmonių visame pasaulyje, parduoda asmeninius žiniatinklio naršymo duomenis daugeliui didžiausių pasaulio kompanijų. Tai liudija bendras portalų „Motherboard“ir „PCMag“tyrimas. Medžiaga pagrįsta „nutekėjusiais“įmonės dokumentais, įrodančiais, kad antivirusinę įmonę valdanti įmonė parduoda labai konfidencialius duomenis.
Antivirusinės gigantės „Avast“antrinei įmonei „Jumpshot“priklausantys dokumentai atskleidė paslėptą asmeninių interneto duomenų pardavimo istoriją. Asmens kompiuteryje įdiegta antivirusinė programa renka duomenis, o „Jumpshot“ją „perpakuoja“į įvairius produktus, kurie vėliau parduodami daugeliui didžiausių pasaulio kompanijų. Į pirkinių sąrašą įtraukti tokie gigantai kaip „Google“, „Yelp“, „Microsoft“, „McKinsey“, „Pepsi“, „Home Depot“, „Condé Nast“, „Intuit“ir daugelis kitų. Kai kurie klientai sumokėjo milijonus dolerių už produktus, kuriuose yra vadinamasis „visų paspaudimų kanalas“, kuris labai tiksliai gali sekti vartotojo elgesį, paspaudimus ir naršymą svetainėje.
„Avast“teigia, kad turi daugiau nei 435 milijonus mėnesinių aktyvių vartotojų, o „Jumpshot“renka duomenis iš 100 milijonų įrenginių. „Avast“renka vartotojo duomenis ir perduoda juos „Jumpshot“, tačiau keli „Avast“vartotojai pagrindinei plokštei teigė, kad jie nežinojo apie jų duomenų dalijimąsi su trečiosiomis šalimis.
„Motherboard“ir „PCMag“duomenimis, šie asmeniniai duomenys apėmė „Google“paieškas, „Google“žemėlapių vietas ir GPS koordinates, „LinkedIn“puslapius, privačius „YouTube“vaizdo įrašus ir informaciją apie lankomas porno svetaines. Naudojant surinktą duomenų telkinį, galima nustatyti, kada anoniminis vartotojas lankėsi „YouPorn“ir „PornHub“, o kai kuriais atvejais net ieškojo ir žiūrėjo konkrečius vaizdo įrašus.
Nors duomenų rinkiniuose nėra asmeninės informacijos, tokios kaip vartotojo vardai, jose vis dar yra daug konkrečių duomenų, ir ekspertai sako, kad nėra taip sunku deanonimizuoti konkretų asmenį, kuris juos naudoja.
Liepos mėn. Išleistame pranešime spaudai „Jumpshot“teigia esanti „vienintelė įmonė, atskleidusi daugybę paslapčių“ir įsipareigojusi „suteikti rinkodaros specialistams gilesnį klientų internetinės veiklos supratimą“. „Jie yra labai išsamūs ir labai domina pirkėjus, nes atitinka įrenginio lygį su laiko žyma“, - komentavo pagrindinės plokštės šaltinis, nurodydamas parduodamų duomenų specifiką ir jautrumą.
Reklaminis vaizdo įrašas:
Dar visai neseniai „Avast“rinko duomenų srautus iš klientų, kurie įdiegė bendrovės sukurtą naršyklės papildinį, norėdami įspėti vartotojus apie įtartinas svetaines. Saugumo tyrėjas ir „AdBlock Plus“kūrėjas Vladimiras Palantas spalio mėnesį paskelbė tinklaraščio įrašą, kuriame teigė, kad „Avast“renka vartotojo duomenis naudodamas papildinį. Netrukus po to naršyklių kūrėjai „Mozilla“, „Opera“ir „Google“pašalino „Avast“plėtinius iš savo atitinkamų parduotuvių. Anksčiau „Avast“paaiškino šį duomenų rinkimą ir dalijimąsi tinklaraščio ir forumo įraše 2015 m. Nuo to laiko „Avast“tariamai nustojo siųsti šių plėtinių surinktus naršymo duomenis.
Tačiau duomenų rinkimas tęsiasi, nurodomas šaltinis ir dokumentai. Užuot rinkęs informaciją naudodamas programinę įrangą, prijungtą prie naršyklės, „Avast“tai daro naudodamasi pačia antivirusine programa. Praėjusią savaitę, po kelių mėnesių, kai buvo sužinota, kad naudodama savo naršyklės plėtinius siunčia duomenis „Jumpshot“, „Avast“pradėjo prašyti antivirusinių klientų leisti rinkti duomenis. „Jei vartotojai sutinka, įrenginys pradeda registruoti visą kliento veiklą internete“, - rašoma vidiniame produkto vadove.
Pagrindinė plokštė ir „PCMag“susisiekė su daugiau nei dviem dešimtimis bendrovių, minimų vidinėse paraiškose. Nedaugelis atsakė į klausimus apie tai, ką jie daro su duomenimis, remiantis „Avast“vartotojų naršymo istorija.
„Mes kartais naudojame informaciją iš trečiųjų šalių tiekėjų, kad padėtume tobulinti savo verslą, produktus ir paslaugas. Mes reikalaujame, kad šie tiekėjai turėtų tinkamas teises pateikti mums šią informaciją. Tokiu atveju mes gauname anoniminius auditorijos duomenis, kurie negali būti naudojami individualiems klientams identifikuoti “, - elektroniniu paštu sakė„ Home Depot “atstovas.
„Microsoft“atsisakė komentuoti produktų iš „Jumpshot“įsigijimo specifiką, tačiau teigė, kad neturi nuolatinių ryšių su įmone. „Yelp“atstovas elektroniniame laiške rašė: „2018 m. Kaip antimonopolinio informacijos reikalavimo dalis„ Yelp “komandos buvo paprašyta įvertinti„ Google “įtaką vietinei paieškos sistemų rinkai. „Jumpshot“buvo naudojamas vienu metu “.
„Southwest Airlines“teigė, kad aptarė partnerystę su „Jumpshot“, tačiau nesudarė susitarimo su įmone. IBM teigė, kad ji neveikia su „Jumpshot“, o „Altria“teigė, kad dabar ji neveikė, nors ji nenurodė, ar ji tai darė anksčiau. Sephora pareiškė, kad tai neveikia su „Jumpshot“. „Google“neatsakė į prašymą komentuoti.
Savo tinklalapyje ir pranešimuose spaudai „Jumpshot“įvardija „Pepsi“, taip pat konsultuoja milžinus „Bain & Company“ir „McKinsey“kaip klientus.
Be „Expedia“, „Intuit“ir „Loreal“, kitose bendrovėse, dar nepaminėtuose „Jumpshot“viešuose pranešimuose, yra kavos kompanija „Keurig“, „YouTube vidIQ“ir vartotojų tyrimų įmonė „Hitwise“. Nė viena iš šių bendrovių neatsakė į prašymą pateikti pastabas.
Savo svetainėje „Jumpshot“pateikia kai kuriuos ankstesnius duomenų naudojimo atvejus. Pavyzdžiui, Condé Nast naudojo „Jumpshot“produktus norėdamas sužinoti, ar žiniasklaidos kompanijos skelbimas paskatino pirkti „Amazon“ir kitose vietose. Condé Nast neatsakė į prašymą komentuoti.
„Jumpshot“parduoda įvairius produktus, pagrįstus duomenimis, kuriuos surinko vartotojų kompiuteriuose įdiegta „Avast“antivirusinė programinė įranga. Institucinio finansų sektoriaus klientai dažnai perka kanalus iš 10 000 domenų, kuriuose lankosi „Avast“vartotojai, norėdami pastebėti tendencijas, rašoma produkto vadove.
Kitas „Jumpshot“produktas yra vadinamasis „Visų paspaudimų tiekimas“. Tai leidžia klientui nusipirkti informacijos apie visus tam tikrame domene, pavyzdžiui, „Amazon.com“, „Walmart.com“, „Target.com“, „BestBuy.com“ar „Ebay.com“, pateiktus „Jumpshot“paspaudimus.
Tviteryje, paskelbtame praėjusį mėnesį, siekiant pritraukti naujų klientų, „Jumpshot“pažymėjo, kad renka „Kiekvieną paiešką. Kiekvienas paspaudimas. Informacija apie kiekvieną pirkimą kiekvienoje svetainėje “.
„Jumpshot“duomenys gali parodyti, kad kažkas, turintis „Avast“, įdiegtą į kompiuterį, tinkinantį produktą, spustelėkite nuorodą, kuri atvedė į „Amazon“, o tada galiausiai pridėjo prekę į savo krepšelį kitoje svetainėje, kol galiausiai, nusipirkite produktą.
Viena iš bendrovių, įsigijusių „All Clicks“, yra Niujorke įsikūrusi rinkodaros įmonė „Omnicom Media Group“. Pagal sutartį „Omnicom“sumokėjo „Jumpshot“2 075 000 USD už prieigą prie duomenų 2019 m. Sandoryje taip pat buvo kitas produktas, vadinamas 20 skirtingų sričių „Insight Feed“. Duomenys už duomenis 2020 m. Ir 2021 m. Yra atitinkamai atitinkamai 2 225 000 ir 2 275 000 USD, rašoma dokumente.
„Jumpshot“suteikė „Omnicom“prieigą prie visų paspaudimų kanalų iš 14 skirtingų šalių, įskaitant JAV, Angliją, Kanadą, Australiją ir Naująją Zelandiją. Į produktą taip pat įtraukta numatoma vartotojų lytis „atsižvelgiant į naršymo elgseną“, numatomas jų amžius ir „visa URL eilutė“, tačiau pašalinus asmenį identifikuojančią informaciją (PII).
„Omnicom“neatsakė į kelis prašymus komentuoti.
Pagal sutartį kiekvieno vartotojo „įrenginio ID“yra pakeistas, o tai reiškia, kad duomenis perkanti įmonė neprivalo nustatyti, kas tiksliai yra už kiekvieno rodinio. Vietoje to, „Jumpshot“produktai turėtų padėti įmonėms suprasti, kurie produktai yra ypač populiarūs ar kokia efektyvi yra reklaminė kampanija.
Tačiau „Jumpshot“duomenys negali būti visiškai anonimiški. Vidiniame produkto vadove teigiama, kad įrenginio ID nesikeičia kiekvienam vartotojui „nebent vartotojas visiškai pašalina ir iš naujo įdiegia saugos programinę įrangą“. Daugybė straipsnių ir mokslinių tyrimų parodė, kad visiškai įmanoma atskleisti žmones naudojant vadinamuosius anoniminius duomenis. 2006 m. „New York Times“žurnalistai sugebėjo identifikuoti konkretų asmenį iš tariamai anoniminių paieškos duomenų, kuriuos AOL viešai paskelbė, talpyklos. Nors patikrinti duomenys buvo labiau nukreipti į socialinės žiniasklaidos saitus, kuriuos redagavo „Jumpshot“, 2017 m. Atliktas tyrimas Stanfordo universitete nustatė, kad internete įmanoma atpažinti žmones iš anoniminių duomenų.
Pagrindinė plokštė ir „PCMag“uždavė „Avast“daugybę išsamių klausimų apie tai, kaip ji apsaugo vartotojų anonimiškumą, taip pat paprašė informacijos apie kai kurias bendrovės sutartis. „Avast“neatsakė į daugelį klausimų, tačiau paskelbė pareiškimą: „Siekdami užtikrinti, kad„ Jumpshot “negautų asmenį identifikuojančios informacijos, įskaitant žmonių, naudojančių mūsų populiarią nemokamą antivirusinę programinę įrangą, vardą, el. Pašto adresą ar kontaktinę informaciją“.
„Vartotojai visada turėjo galimybę atsisakyti bendravimo su„ Jumpshot “. Nuo 2019 m. Liepos mėn. Mes jau pradėjome įgyvendinti aiškų visų mūsų antivirusinės programos atsisiuntimų pasirinkimą ir dabar taip pat reikalaujame esamų nemokamų vartotojų sutikimo - procesas, kuris bus baigtas 2020 m. Vasario mėn. “, - teigė„ Avast “atstovas ir pridūrė, kad bendrovė visame pasaulyje naudojasi Kalifornijos vartotojų apsaugos įstatymu (CCPA) ir Bendruoju Europos duomenų apsaugos reglamentu (GDPR).
„Mes ilgą laiką saugojome vartotojų įrenginius ir duomenis nuo kenkėjiškų programų, ir suprantame bei rimtai imamės atsakomybės suderinti vartotojo privatumą su būtinu duomenų naudojimu“, - teigiama pranešime.
Kai „PCMag“žurnalistas šį mėnesį pirmą kartą įdiegė „Avast“antivirusinį produktą, programa paklausė, ar jis nori dalyvauti duomenų rinkime.
„Jei norite, pateiksime savo dukterinę įmonę„ Jumpshot Inc. “skirtas ir nenustatytas duomenų rinkinys, gautas iš jūsų naršymo istorijos, kad „Jumpshot“galėtų analizuoti rinkas ir verslo tendencijas bei rinkti kitas vertingas įžvalgas “, - rašoma pranešime. Tačiau iššokančiame lange nebuvo tiksliai aprašyta, kaip „Jumpshot“naudoja šiuos duomenis.
„Informacija visiškai neidentifikuojama ir apibendrinta, jos negalima naudoti asmens tapatybei nustatyti. „Jumpshot“gali dalytis apibendrinta informacija su savo klientais “, - pridūrė iššokantis langas.
Atnaujinimas: paskelbus šį tyrimą, „Avast“paskelbė, kad sustabdo duomenų rinkimą naudodama „Jumpshot“.
Autorius Joseph Cox