Avastin virustentorjuntasovellus myy "jokaisen haun", "jokaisen napsautuksen", "jokaisen oston jokaisella vierailullasi". Ostajia ovat Home Depot, Google, Microsoft, Pepsi ja McKinsey.
(julkaistu lyhenteillä)
Satojen miljoonien ihmisten käyttämä ympäri maailmaa oleva virustentorjuntaohjelma myy henkilökohtaisia selaustietoja monille maailman suurimmista yrityksistä. Tämän todistaa emolevy ja PCMag-portaalien tekemä yhteinen tutkimus. Aineisto perustuu "vuotaneisiin" yritysasiakirjoihin, jotka todistavat, että virustorjuntaa omistava yritys myy erittäin luottamuksellisia tietoja.
Antivirus jättiläisen Avastin tytäryhtiön Jumpshotin omistamat asiakirjat valaisivat uutta tietoa henkilökohtaisen Internet-tiedon myyntiin piilotetusta historiasta. Henkilökohtaiseen tietokoneeseen asennettu Avast-virustorjunta kerää tietoja, ja Jumpshot”pakata” sen erilaisiin tuotteisiin, jotka sitten myydään monille maailman suurimmista yrityksistä. Ostolistaan sisältyy jättiläisiä, kuten Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit ja monet muut. Jotkut asiakkaat ovat maksaneet miljoonia dollareita tuotteista, jotka sisältävät ns. "All-click channel", joka pystyy seuraamaan käyttäjien käyttäytymistä, napsautuksia ja verkkosivustolla navigointia erittäin tarkasti.
Avast väittää olevan yli 435 miljoonaa kuukausittain aktiivista käyttäjää, ja Jumpshot kerää tietoja 100 miljoonasta laitteesta. Avast kerää käyttäjätiedot ja toimittaa ne sitten Jumpshot-tietokantaan, mutta useat Avast-käyttäjät kertoivat emolevylle, etteivät he tienneet tietonsa jakamisesta kolmansien osapuolten kanssa.
Emolevyn ja PCMagin mukaan näihin henkilötietoihin sisältyivät Google-haut, Google Maps -paikat ja GPS-koordinaatit, LinkedIn-sivut, yksityiset YouTube-videot ja tiedot käydyistä pornosivustoista. Kerättyä tietokantaa käyttämällä on mahdollista selvittää, milloin tuntematon käyttäjä on käynyt YouPornissa ja PornHubissa, ja joissain tapauksissa jopa etsinnöissä ja tietyissä videoissa, joita katsottiin.
Vaikka tietoaineistot eivät sisällä henkilökohtaisia tietoja, kuten käyttäjänimiä, ne sisältävät kuitenkin paljon erityistä tietoa, ja asiantuntijoiden mukaan ei ole niin vaikeaa deanonymisoida niitä käyttävä henkilö.
Heinäkuussa julkaistussa lehdistötiedotteessa Jumpshot väittää olevansa "ainoa yritys, joka paljastaa useita salaisuuksia" ja sitoutunut "tarjoamaan markkinoijille syvempää tietoa asiakkaiden verkkotoiminnoista". "Ne ovat erittäin yksityiskohtaisia ja kiinnostavat paljon ostajia, koska ne vastaavat laitteen tasoa aikaleimalla", kommentoi emolevyn lähde mainitsemalla myytyjen tietojen erityispiirteitä ja herkkyyttä.
Mainosvideo:
Viime aikoihin saakka Avast keräsi liikennetietoja asiakkailta, jotka asensivat yrityksen kehittämän selaimen laajennuksen käyttäjien hälyttämiseksi epäilyttävistä verkkosivustoista. Turvallisuustutkija ja AdBlock Plus -yhtiön luoja Vladimir Palant julkaisi lokakuussa blogin, jossa väitettiin, että Avast kerää käyttäjätietoja laajennuksen avulla. Pian sen jälkeen selaimen valmistajat Mozilla, Opera ja Google poistivat Avast-laajennukset myymälöistään. Avast selitti aiemmin tiedonkeruusta ja jakamisesta blogissa ja foorumiviestissä vuonna 2015. Siitä lähtien Avast on väitetysti lopettanut näiden laajennusten keräämien selaustietojen lähettämisen.
Tiedonkeruu kuitenkin jatkuu, lähde ja asiakirjat osoittavat. Sen sijaan, että kerätään tietoja selaimeen kytketyillä ohjelmistoilla, Avast tekee sen itse virustorjuntaa käyttämällä. Viime viikolla, kuukausia sen jälkeen, kun se havaittiin käyttävän selainlaajennuksiaan tietojen lähettämiseen Jumpshotille, Avast alkoi pyytää virustorjunta-asiakkaitaan sallimaan tiedonkeruu. "Jos käyttäjät sopivat, laite alkaa tallentaa kaikki asiakkaan online-toiminnot", sanotaan sisäisessä tuoteoppaassa.
Emolevy ja PCMag ovat ottaneet yhteyttä yli kahteen kymmeneen yritykseen, joka mainitaan sisäisissä asiakirjoissa. Harva vastasi kysymyksiin siitä, mitä he tekevät tietojen kanssa Avast-käyttäjien selaushistorian perusteella.
”Käytämme joskus kolmansien osapuolien tarjoamia tietoja liiketoiminnan, tuotteiden ja palveluiden parantamiseksi. Vaadimme, että näillä toimittajilla on asianmukaiset oikeudet toimittaa nämä tiedot meille. Tässä tapauksessa saamme nimettömiä yleisötietoja, joita ei voida käyttää yksittäisten asiakkaiden tunnistamiseen”, Home Depotin tiedottaja sanoi sähköpostitse.
Microsoft kieltäytyi kommentoimasta tuotteiden hankkimisen yksityiskohtia Jumpshotilta, mutta sanoi, että sillä ei ole jatkuvaa suhdetta yritykseen. Yelp-edustaja kirjoitti sähköpostiviestissä:”Vuonna 2018 Yelp-tiimiä pyydettiin osana kilpailuoikeuden tietopyyntöä arvioimaan Googlen vaikutuksia paikallisille hakukoneiden markkinoille. Jump-kuvaa käytettiin kerrallaan."
Southwest Airlines sanoi, että se on keskustellut kumppanuudesta Jumpshotin kanssa, mutta ei ole päässyt sopimukseen yrityksen kanssa. IBM ilmoitti, että se ei toiminut Jumpshotin kanssa, ja Altria sanoi, että se ei toiminut Jumpshotin kanssa nyt, vaikka se ei ilmoittanut, toimiiko se aiemmin. Sephora totesi, että tämä ei toimi Jumpshotin kanssa. Google ei vastannut kommenttipyyntöön.
Jumpshot nimeää verkkosivustollaan ja lehdistötiedotteissa Pepsi-asiakkaat sekä konsultointi-jättiläiset Bain & Company ja McKinsey asiakkaina.
Expedian, Intuitin ja Lorealin lisäksi muita yrityksiä, joita ei vielä ole esitelty Jumpshotin julkisissa ilmoituksissa, ovat kahvilayhtiö Keurig, YouTube vidIQ ja Hitwise, kuluttajantutkimusyritys. Yksikään näistä yrityksistä ei vastannut kommenttipyyntöön.
Jumpshot luettelee verkkosivustollaan tietyt aiemmat käyttötapaukset. Esimerkiksi Condé Nast käytti Jumpshot-tuotteita nähdäkseen, johtiko mediayrityksen mainos ostoksiin Amazonissa ja muualla. Condé Nast ei vastannut kommenttipyyntöön.
Jumpshot myy erilaisia tuotteita käyttäjien tietokoneisiin asennetun Avast-virustorjuntaohjelmiston keräämien tietojen perusteella. Institutionaalisen rahoitussektorin asiakkaat ostavat usein kanavia 10 000 verkkotunnuksesta, joissa Avast-käyttäjät käyvät yrittääkseen havaita trendit, tuoteoppaassa sanotaan.
Toinen Jumpshot-tuote on niin kutsuttu "All Click Feed". Tämän avulla asiakas voi ostaa tietoja kaikista napsautuksista, jotka Jumpshot on nähnyt tietyllä verkkotunnuksella, kuten Amazon.com, Walmart.com, Target.com, BestBuy.com tai Ebay.com.
Viime kuussa lähetetyssä twiitissä, jonka tavoitteena oli houkutella uusia asiakkaita, Jumpshot totesi keräävänsä”Jokainen haku. Jokainen napsautus. Tiedot jokaisesta ostosta jokaisella sivustolla."
Pikakuvaustiedot voivat näyttää jonkun, jolla Avast on asennettu tietokoneeseensa googling tuotetta, napsauttamalla linkkiä, joka johti Amazoniin, ja sitten mahdollisesti lisännyt tuotteen ostoskoriinsa toisella verkkosivustolla ennen kuin lopulta, osta tuote.
Yksi All Clicks -yrityksen ostaneista yrityksistä on New Yorkissa toimiva markkinointiyritys Omnicom Media Group. Sopimuksen mukaan Omnicom maksoi Jumpshotille 2 075 000 dollaria tietojen käytöstä vuonna 2019. Kauppa sisälsi myös toisen tuotteen nimeltä Insight Feed 20 eri verkkotunnukselle. Tiedonsiirtomaksut vuonna 2020 ja sitten vuonna 2021 on ilmoitettu vastaavasti 2,225 000 dollariin ja 2275 000 dollariin, asiakirja kertoo.
Jumpshot antoi Omnicomille pääsyn kaikkiin napsautuskanaviin 14 eri maasta ympäri maailmaa, mukaan lukien Yhdysvallat, Englanti, Kanada, Australia ja Uusi-Seelanti. Tuote sisältää myös käyttäjien aiotun sukupuolen "selauskäyttäytymisen perusteella", heidän arvioidun ikänsä ja "koko URL-osoitteen merkkijonon", mutta henkilökohtaiset tunnistetiedot (PII) on poistettu.
Omnicom ei vastannut useisiin kommenttipyyntöihin.
Sopimuksen mukaan jokaisen käyttäjän”laite ID” on hajautettu, mikä tarkoittaa, että tietoja ostavan yrityksen ei tarvitse kyetä selvittämään, kuka tarkalleen on kunkin näkymän takana. Sen sijaan Jumpshot-tuotteiden on tarkoitus auttaa yrityksiä ymmärtämään, mitkä tuotteet ovat erityisen suosittuja tai kuinka tehokas mainoskampanja on.
Mutta pikakuvaustiedot eivät voi olla täysin nimettömiä. Tuotteen sisäisessä käsikirjassa todetaan, että laitteen tunnukset eivät muutu jokaisella käyttäjällä "ellei käyttäjä asenna suojausohjelmistoa kokonaan ja asenna se uudelleen". Lukuisat artikkelit ja tieteelliset tutkimukset ovat osoittaneet, että on täysin mahdollista paljastaa ihmiset niin kutsuttujen nimettömien tietojen avulla. New York Timesin toimittajat pystyivät vuonna 2006 tunnistamaan tietyn henkilön oletettavasti nimettömien etsintätietojen välimuistista, jonka AOL julkisti. Vaikka varmennetut tiedot keskittyivät enemmän sosiaalisen median linkkeihin, joita Jumpshot muokattiin, Stanfordin yliopistossa vuonna 2017 tehdyssä tutkimuksessa todettiin, että oli mahdollista tunnistaa ihmiset tuntemattomista tiedoista verkossa.
Emolevy ja PCMag kysyivät Avastilta useita yksityiskohtaisia kysymyksiä siitä, kuinka se suojaa käyttäjien nimettömyyttä, ja pyysi myös tietoja joistakin yrityksen sopimuksista. Avast ei vastannut useimpiin kysymyksiin, mutta antoi lausunnon: "Varmistamme lähestymistapamme kautta, että Jumpshot ei saa henkilökohtaisia tunnistetietoja, mukaan lukien suosittuja ilmaisia virustorjuntaohjelmiamme käyttävien ihmisten nimi, sähköpostiosoite tai yhteystiedot."
”Käyttäjillä on aina ollut mahdollisuus kieltäytyä kommunikoimasta Jumphotin kanssa. Heinäkuusta 2019 lähtien olemme jo aloittaneet nimenomaisten valintojen toteuttamisen kaikille viruksentorjuntamme uusille latauksille ja pyydämme nyt myös suostumusta nykyisiltä ilmaisilta käyttäjiltämme - prosessi, joka saadaan päätökseen helmikuussa 2020”, Avastin tiedottaja sanoi ja lisäsi, että yritys noudattaa Kalifornian kuluttajansuojalakia (CCPA) ja yleistä eurooppalaista tietosuoja-asetusta (GDPR) koko sen globaalissa käyttäjäkannassa.
"Meillä on pitkä historia suojaamalla käyttäjän laitteita ja tietoja haittaohjelmilta. Ymmärrämme ja otamme vakavasti vastuun tasapainottaa käyttäjän yksityisyyttä tarvittavan tiedon käytön kanssa", lausunnossa todettiin.
Kun PCMag-toimittaja asensi ensimmäisen kerran Avastin virustorjuntatuotteen tässä kuussa, ohjelma kysyi haluaako hän osallistua tiedonkeruuseen.
”Jos haluat, toimitamme tytäryhtiöllemme Jumpshot Inc. erillinen ja tunnistettu tietojoukko, joka on johdettu selaushistoriastasi, jotta Jumpshot voi analysoida markkinoita ja liiketoiminnan suuntauksia ja kerätä muita arvokkaita oivalluksia”, sanoma sanoo. Ponnahdusikkunassa ei kuitenkaan tarkennettu tarkalleen, kuinka Jumpshot käyttää näitä tietoja.
”Tiedot on täysin tunnistettu ja koottu, niitä ei voida käyttää henkilöllisyyden tunnistamiseen. Jumpshot voi jakaa koottua tietoa asiakkaidensa kanssa”, lisäsi ponnahdusikkuna.
Päivitys: Tämän tutkimuksen julkistamisen jälkeen Avast ilmoitti keskeyttävänsä Jumpshot-tiedonkeruun.
Lähettäjä Joseph Cox