[ Zavřít ] 


 

RSS Kanál

 

Avast prodával své uživatele marketérům

Každé ZADARMO bývá zaplaceno. Což právě dokázal Avast všem uživatelům antivirů Avast FREE a AVG FREE. Jak se portálu PCMag a Motherboard podařilo zjistit, prodával Avast data shromážděná mimo jiné i prostřednictvím bezplatných verzí produktů Avast a AVG třetím stranám prostřednictvím dceřiné společnosti Jumpshot. Nebojte, že by informace o vás měl kdekdo - jejich cena se pohybovala v miliónech USD a dovolit si je mohli jen Microsoft, Google, Coca Cola, TripAdvisor, Yelp, Pepsi...

 

Avast místo slíbené ochrany své uživatele zaprodal za více než 30 stříbrných (Zdroj: Avast)

Firmu Jumpshot koupil Avast jakožto vývojáře programů pro optimalizaci Windows a počítače. Nicméně Jumpshot se ve stáji Avastu zabývá zpracování a analýzou velkých dat, a to sice pro marketingové účely. A právě prostřednictvím dceřiné společnosti Jumpshot prodával Avast data.

Jaká je nabídka společnosti Jumpshot?

Investigativcům se podařilo dostat k nabídce produktů firmy Jumpshot, k interním dokumentům i k exkluzivní smlouvě se společností Omnicom Media Group. Jumpshot nabízí:

  • vyhledávání a výsledky - jeden z produktů se zaměřuje na vyhledávání včetně použitých klíčových slov a následně odkliknutých výsledků. Při analýze vzorku sebraných dat jsme viděli jak logy běžných témat, tak citlivá vyhledávání zaměřeného na porno - včetně porna nezletilých, tedy informací, s nimiž by nikdo nechtěl být spojován, komentuje Michael Kan, investigativec PCMag;
  • preferovaný multimediální obsah - další z produktů je navržen tak, aby trackoval, která videa uživatelé sledují na YouTube, Facebooku a Instagramu
  • způsob výběru e-shopu - další z produktů je postaven kolem toho, jak uživatelé přicházejí na konkrétní doménu e-commerce

Naprosto vše - All Clicks Feed - včetně 

V prosinci 2018 podepsala Jumpshot exkluzivní smlouvu s Omnicom Media Group, obřím poskytovatelem marketingových služeb. Předmětem této smlouvy je produkt označený coby All Clicks Feed, tedy výčet naprosto každého kliku v sérii uživatelova brouzdání internetem. Běžně je z tohoto produktu vynechána identifikace uživatelských zařízení. Ale exkluzivní smlouva s Omnicom Media Group zahrnuje i unikátní identifikátor uživatelova zařízení. 

„Navíc smlouva požaduje, aby společnost Jumpshot dodávala URL každé navštívené stránky, URL každé odkazující stránky, časové známky až na úroveň milisekund - a to společně s odhadem věku a pohlaví uživatele.“ Tato smlouva vešla v platnost v lednu 2019, je podepsána na 3 roky a Jumpshotu z ní pramení 6,5 miliónu USD. 

Zjistěte přesně, kde nakupující nakupují - zní ta explicitní část nabídky Jumpshot (Zdroj: Jumpshot.com)

Ukázkový řetězec prodávaných dat

PCMag, kterému se podařilo získat několik vzorků prodávaných dat, exemplifikuje na příkladu, jak vypadaly řetězce prodávaných dat:

Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 - 2017 Model - 256GB, Rose Gold Behavior: Add to Cart

Někomu by se taková data mohla zdát neškodná. Jinému ne. Máme zde totiž přesný čas, doménu a identifikátor zařízení. Když vše zjednodušíme na minimum, tak minimálně Amazon.com dokáže z daných dat zcela přesně určit, kdo v danou chvíli vložil do košíku na jeho doméně produkt Apple iPad Pro 10.5 - 2017 Model - 256GB, Rose Gold. A co víc - nyní už má k dispozici identifikátor jeho zařízení, díky němuž dokáže trackovat celý jeho pobyt na internetu. 

Kdo všechno může mít data Jumpshotu?

Jumpshot se v reklamních materiálech ohání referencemi mnohých zákazníků velkých jmen. Kupříkladu uvádí Microsoft, IBM a Google. Na základě kauzy:

  1. Microsoft odpovídá, že v současnosti není s firmou Jumpshot nijak spojena; 
  2. IBM zase uvádí, že nemá žádný záznam o tom, že by byl klientem Avastu či Jumpshotu a
  3. Google na požadavek na vyjádření mlčí. 

Reakce typu mlčení je vůbec nejrozšířenější - obohacená ještě odmítnutím komentáře dané věci. Z velkých jmen stejně reagovaly McKinsey & Company a GfK

Data samozřejmě zpracovávají a přeprodávají i zákazníci Jumpshotu. Pátrání ukázalo, že velká množství dat končí v rukou finančníků věnujících se investicím do venture kapitálu. 

Co na to Avast?

Avast reagoval očekávatelně. Už dokonce v prosinci:

Bezpečnost a soukromí našich uživatelů jsou pro Avast absolutní prioritou, a proto máme funkční a komplexní proces na ochranu jejich dat. V posledních dnech se objevily zprávy o tom, že prodáváme osobní údaje třetím stranám, což není pravda.

Aby naše rozšíření prohlížeče mohla plnit svou úlohu, tedy detekovat a blokovat hrozby, potřebujeme, aby bylo možné shromažďovat informace o adresách URL. Tímto způsobem fungují naše ale i další antivirová řešení na trhu. Pro tuto činnost ale nepotřebujeme žádné osobní údaje. Abychom chránili soukromí našich uživatelů, jsou data, která shromažďujeme, zbavena všech osobně identifikovatelných informací (PII), což znamená, že jsou uloženy v neidentifikovatelném formátu.

Tato agregovaná statistická data také sdílíme s naší vlastní marketingovou analytickou společností, Jumpshot. 

Avast tedy jen sdílel - zatímco prodávala až dcerka Jumpshot. Stejně tak nevěrohodná jsou i ona deidentifikující data. Což vyplývá nejen z exkluzivních smluv, jaké uzavřely společnosti typu Omnicom Group Media, ale i z toho, že jsou sbírány řetězce komplexních dat, jejichž kombinace - stejně jako při fingerprintingu - vede k identifikaci unikátního uživatele. Nemluvě o případech, kdy si zákazník typu Amazonu, identifikuje své zákazníky už sám:)

Při dotazech na kauzu, se Avast snaží uzavřít s tím, že „už zcela přestal používat data shromažďovaná prostřednictvím doplňku prohlížeče k čemukoliv jinému, než funkci antiviru samotného. Tedy že je ani už nesdílí se společností Jumpshot. Nicméně už se nevyjádřil k tomu, co udělá s daty, která již shromáždit stačil.

Pokusy odstranit identifikující data z komplexních informací zůstávají poněkud neumělými (Zdroj: Pixabay.com)

Je v podstatě nemožné deidentifikovat data,

takový je závěr i bezpečnostních expertů. Když Avast hovoří o tom, že dochází k deidentifikaci dat, jen prohlubuje jámu nedůvěry. Logoval totiž každou navštívenou stránku společně s uživatelovou identifikací (ID řetězcem). A i když jsou pak data očištěna o uživatelská jména, emailové adresy a podobné identifikátory, naprostá deidentifikace je téměř nemožná. To říká i Eric Goldman, šéf High Tech Law na univerzitě v Santa Claře. „Je to prostě špatná obchodní praxe. Mají své zákazníky chránit před hrozbami, nikoliv je hrozbám vystavovat.“ 

„Jen těžko si lze představit jakýkoliv deidentifikační algoritmus, který by byl schopen odstranit všechna relevantní data. Existuje prostě příliš mnoho webů s příliš různými způsoby nakládání s daty a vytváření uživatelské zkušenosti,“ doplňuje Wladimir Palant, odborník kyberbezpečnosti. 

Zveřejnění kauzy následoval prudký pokles akcií Avastu na všech burzách na úrovních kolem 9 % ceny akcí. 

Zdroje

 

 

 

 

 

Avast uklízí po kauze Jumpshot

Avast reaguje na kauzu kolem prodeje dat shromažďovaných mimo jiné i jeho bezplatnými produkty Avast Free Antivirus a AVG AntiVirus FREE. Kauza spojená se jménem dceřiné společnosti Jumpshot, která fakticky data prodávala, stála Avast pokles ceny akcií na burze,...

Antiviry budou chránit Windows 7 další 2 roky

Konec podpory Windows 7 ze strany Microsoftu rozvířil poklidné vody internetového života. Zatímco mnozí se domnívají, že konec podpory vývojáře nic neznamená, experti na IT security z nezávislých laboratoří AV-TEST kontaktovali vývojáře objektů,...

Kyberhrozby 2020

Rok 2020 vyhlíží implementaci nových technologií, které pozmění způsoby, kterými chápeme je, sebe samé i svět. Bezprostřední přítomnost informací se bude v důsledcích rovnat neskutečnému nárůstu vstupních bodů všemožných...

AIRBUS a KOMP: PČR proti darknetu

Policie České republiky rozbila sny fanouškům seriálu Jak prodávat drogy přes internet (rychle). Že nejsou nedohledatelní, nekontrolovatelní a schopni zneužívat služeb dopravců se Národní protidrogové centrále podařilo dokázat ve spolupráci s...


 
© 2005-2020 PS Media s.r.o. - digital world