[ Zavřít ] 


 

RSS Kanál

 

Avast prodával své uživatele marketérům

Každé ZADARMO bývá zaplaceno. Což právě dokázal Avast všem uživatelům antivirů Avast FREE a AVG FREE. Jak se portálu PCMag a Motherboard podařilo zjistit, prodával Avast data shromážděná mimo jiné i prostřednictvím bezplatných verzí produktů Avast a AVG třetím stranám prostřednictvím dceřiné společnosti Jumpshot. Nebojte, že by informace o vás měl kdekdo - jejich cena se pohybovala v miliónech USD a dovolit si je mohli jen Microsoft, Google, Coca Cola, TripAdvisor, Yelp, Pepsi...

 

Avast místo slíbené ochrany své uživatele zaprodal za více než 30 stříbrných (Zdroj: Avast)

Firmu Jumpshot koupil Avast jakožto vývojáře programů pro optimalizaci Windows a počítače. Nicméně Jumpshot se ve stáji Avastu zabývá zpracování a analýzou velkých dat, a to sice pro marketingové účely. A právě prostřednictvím dceřiné společnosti Jumpshot prodával Avast data.

Jaká je nabídka společnosti Jumpshot?

Investigativcům se podařilo dostat k nabídce produktů firmy Jumpshot, k interním dokumentům i k exkluzivní smlouvě se společností Omnicom Media Group. Jumpshot nabízí:

  • vyhledávání a výsledky - jeden z produktů se zaměřuje na vyhledávání včetně použitých klíčových slov a následně odkliknutých výsledků. Při analýze vzorku sebraných dat jsme viděli jak logy běžných témat, tak citlivá vyhledávání zaměřeného na porno - včetně porna nezletilých, tedy informací, s nimiž by nikdo nechtěl být spojován, komentuje Michael Kan, investigativec PCMag;
  • preferovaný multimediální obsah - další z produktů je navržen tak, aby trackoval, která videa uživatelé sledují na YouTube, Facebooku a Instagramu
  • způsob výběru e-shopu - další z produktů je postaven kolem toho, jak uživatelé přicházejí na konkrétní doménu e-commerce

Naprosto vše - All Clicks Feed - včetně 

V prosinci 2018 podepsala Jumpshot exkluzivní smlouvu s Omnicom Media Group, obřím poskytovatelem marketingových služeb. Předmětem této smlouvy je produkt označený coby All Clicks Feed, tedy výčet naprosto každého kliku v sérii uživatelova brouzdání internetem. Běžně je z tohoto produktu vynechána identifikace uživatelských zařízení. Ale exkluzivní smlouva s Omnicom Media Group zahrnuje i unikátní identifikátor uživatelova zařízení. 

„Navíc smlouva požaduje, aby společnost Jumpshot dodávala URL každé navštívené stránky, URL každé odkazující stránky, časové známky až na úroveň milisekund - a to společně s odhadem věku a pohlaví uživatele.“ Tato smlouva vešla v platnost v lednu 2019, je podepsána na 3 roky a Jumpshotu z ní pramení 6,5 miliónu USD. 

Zjistěte přesně, kde nakupující nakupují - zní ta explicitní část nabídky Jumpshot (Zdroj: Jumpshot.com)

Ukázkový řetězec prodávaných dat

PCMag, kterému se podařilo získat několik vzorků prodávaných dat, exemplifikuje na příkladu, jak vypadaly řetězce prodávaných dat:

Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 - 2017 Model - 256GB, Rose Gold Behavior: Add to Cart

Někomu by se taková data mohla zdát neškodná. Jinému ne. Máme zde totiž přesný čas, doménu a identifikátor zařízení. Když vše zjednodušíme na minimum, tak minimálně Amazon.com dokáže z daných dat zcela přesně určit, kdo v danou chvíli vložil do košíku na jeho doméně produkt Apple iPad Pro 10.5 - 2017 Model - 256GB, Rose Gold. A co víc - nyní už má k dispozici identifikátor jeho zařízení, díky němuž dokáže trackovat celý jeho pobyt na internetu. 

Kdo všechno může mít data Jumpshotu?

Jumpshot se v reklamních materiálech ohání referencemi mnohých zákazníků velkých jmen. Kupříkladu uvádí Microsoft, IBM a Google. Na základě kauzy:

  1. Microsoft odpovídá, že v současnosti není s firmou Jumpshot nijak spojena; 
  2. IBM zase uvádí, že nemá žádný záznam o tom, že by byl klientem Avastu či Jumpshotu a
  3. Google na požadavek na vyjádření mlčí. 

Reakce typu mlčení je vůbec nejrozšířenější - obohacená ještě odmítnutím komentáře dané věci. Z velkých jmen stejně reagovaly McKinsey & Company a GfK

Data samozřejmě zpracovávají a přeprodávají i zákazníci Jumpshotu. Pátrání ukázalo, že velká množství dat končí v rukou finančníků věnujících se investicím do venture kapitálu. 

Co na to Avast?

Avast reagoval očekávatelně. Už dokonce v prosinci:

Bezpečnost a soukromí našich uživatelů jsou pro Avast absolutní prioritou, a proto máme funkční a komplexní proces na ochranu jejich dat. V posledních dnech se objevily zprávy o tom, že prodáváme osobní údaje třetím stranám, což není pravda.

Aby naše rozšíření prohlížeče mohla plnit svou úlohu, tedy detekovat a blokovat hrozby, potřebujeme, aby bylo možné shromažďovat informace o adresách URL. Tímto způsobem fungují naše ale i další antivirová řešení na trhu. Pro tuto činnost ale nepotřebujeme žádné osobní údaje. Abychom chránili soukromí našich uživatelů, jsou data, která shromažďujeme, zbavena všech osobně identifikovatelných informací (PII), což znamená, že jsou uloženy v neidentifikovatelném formátu.

Tato agregovaná statistická data také sdílíme s naší vlastní marketingovou analytickou společností, Jumpshot. 

Avast tedy jen sdílel - zatímco prodávala až dcerka Jumpshot. Stejně tak nevěrohodná jsou i ona deidentifikující data. Což vyplývá nejen z exkluzivních smluv, jaké uzavřely společnosti typu Omnicom Group Media, ale i z toho, že jsou sbírány řetězce komplexních dat, jejichž kombinace - stejně jako při fingerprintingu - vede k identifikaci unikátního uživatele. Nemluvě o případech, kdy si zákazník typu Amazonu, identifikuje své zákazníky už sám:)

Při dotazech na kauzu, se Avast snaží uzavřít s tím, že „už zcela přestal používat data shromažďovaná prostřednictvím doplňku prohlížeče k čemukoliv jinému, než funkci antiviru samotného. Tedy že je ani už nesdílí se společností Jumpshot. Nicméně už se nevyjádřil k tomu, co udělá s daty, která již shromáždit stačil.

Pokusy odstranit identifikující data z komplexních informací zůstávají poněkud neumělými (Zdroj: Pixabay.com)

Je v podstatě nemožné deidentifikovat data,

takový je závěr i bezpečnostních expertů. Když Avast hovoří o tom, že dochází k deidentifikaci dat, jen prohlubuje jámu nedůvěry. Logoval totiž každou navštívenou stránku společně s uživatelovou identifikací (ID řetězcem). A i když jsou pak data očištěna o uživatelská jména, emailové adresy a podobné identifikátory, naprostá deidentifikace je téměř nemožná. To říká i Eric Goldman, šéf High Tech Law na univerzitě v Santa Claře. „Je to prostě špatná obchodní praxe. Mají své zákazníky chránit před hrozbami, nikoliv je hrozbám vystavovat.“ 

„Jen těžko si lze představit jakýkoliv deidentifikační algoritmus, který by byl schopen odstranit všechna relevantní data. Existuje prostě příliš mnoho webů s příliš různými způsoby nakládání s daty a vytváření uživatelské zkušenosti,“ doplňuje Wladimir Palant, odborník kyberbezpečnosti. 

Zveřejnění kauzy následoval prudký pokles akcií Avastu na všech burzách na úrovních kolem 9 % ceny akcí. 

Zdroje

 

 

 

 

 

DNS CR: čínský scam v češtině

„Někdo se snaží zaregistrovat doménu s Vaším obchodním jménem,“ to už to bylo. Konkrétně před třemi lety se snažili zákeřní vyděrači naivních pod jménem China Registry a dalšími jmény. Nějakému bludnému Holanďanovi se...

Notebook s Chrome 86 pojede o pár hodin déle

Vývojáři Chrome právě testují fičuru, která by měla významně snížit energetickou náročnost prohlížeče. Týká se JavaScriptu, a to konkrétně toho běžícího v panelech na pozadí. Jeho časovače, které neustále probouzí k aktivitě...

Microsoft rozdává Penbook

Penbook, poznámkový náčrtník, co snese dotykové pero, prst i myš, je až do 4. července 2020 zdarma. Stačí zamířit do aplikačního obchodu Microsoft Store a nainstalovat si jej právě touto cestou. Získáte tak elektronickou tabuli k zápisu všeho...

Květnový update sníží spotřebu RAM Chromií

Google Chrome, Microsoft Edge a všechny prohlížeče běžící na jádru Chromium čeká významné snížení potřeby operační paměti, a to díky nové fičuře Windows 10 uvolňované s květnovým povýšením. Jde o SegmentHeap, funkcionalitu...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama