Avast prodával své uživatele marketérům

Každé ZADARMO bývá zaplaceno. Což právě dokázal Avast všem uživatelům antivirů Avast FREE a AVG FREE. Jak se portálu PCMag a Motherboard podařilo zjistit, prodával Avast data shromážděná mimo jiné i prostřednictvím bezplatných verzí produktů Avast a AVG třetím stranám prostřednictvím dceřiné společnosti Jumpshot. Nebojte, že by informace o vás měl kdekdo - jejich cena se pohybovala v miliónech USD a dovolit si je mohli jen Microsoft, Google, Coca Cola, TripAdvisor, Yelp, Pepsi...

 

Firmu Jumpshot koupil Avast jakožto vývojáře programů pro optimalizaci Windows a počítače. Nicméně Jumpshot se ve stáji Avastu zabývá zpracování a analýzou velkých dat, a to sice pro marketingové účely. A právě prostřednictvím dceřiné společnosti Jumpshot prodával Avast data.

Jaká je nabídka společnosti Jumpshot?

Investigativcům se podařilo dostat k nabídce produktů firmy Jumpshot, k interním dokumentům i k exkluzivní smlouvě se společností Omnicom Media Group. Jumpshot nabízí:

• vyhledávání a výsledky - jeden z produktů se zaměřuje na vyhledávání včetně použitých klíčových slov a následně odkliknutých výsledků. Při analýze vzorku sebraných dat jsme viděli jak logy běžných témat, tak citlivá vyhledávání zaměřeného na porno - včetně porna nezletilých, tedy informací, s nimiž by nikdo nechtěl být spojován, komentuje Michael Kan, investigativec PCMag;
• preferovaný multimediální obsah - další z produktů je navržen tak, aby trackoval, která videa uživatelé sledují na YouTube, Facebooku a Instagramu; 
• způsob výběru e-shopu - další z produktů je postaven kolem toho, jak uživatelé přicházejí na konkrétní doménu e-commerce. 

Naprosto vše - All Clicks Feed - včetně 

V prosinci 2018 podepsala Jumpshot exkluzivní smlouvu s Omnicom Media Group, obřím poskytovatelem marketingových služeb. Předmětem této smlouvy je produkt označený coby All Clicks Feed, tedy výčet naprosto každého kliku v sérii uživatelova brouzdání internetem. Běžně je z tohoto produktu vynechána identifikace uživatelských zařízení. Ale exkluzivní smlouva s Omnicom Media Group zahrnuje i unikátní identifikátor uživatelova zařízení. 

„Navíc smlouva požaduje, aby společnost Jumpshot dodávala URL každé navštívené stránky, URL každé odkazující stránky, časové známky až na úroveň milisekund - a to společně s odhadem věku a pohlaví uživatele.“ Tato smlouva vešla v platnost v lednu 2019, je podepsána na 3 roky a Jumpshotu z ní pramení 6,5 miliónu USD. 

Ukázkový řetězec prodávaných dat

PCMag, kterému se podařilo získat několik vzorků prodávaných dat, exemplifikuje na příkladu, jak vypadaly řetězce prodávaných dat:

Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 - 2017 Model - 256GB, Rose Gold Behavior: Add to Cart

Někomu by se taková data mohla zdát neškodná. Jinému ne. Máme zde totiž přesný čas, doménu a identifikátor zařízení. Když vše zjednodušíme na minimum, tak minimálně Amazon.com dokáže z daných dat zcela přesně určit, kdo v danou chvíli vložil do košíku na jeho doméně produkt Apple iPad Pro 10.5 - 2017 Model - 256GB, Rose Gold. A co víc - nyní už má k dispozici identifikátor jeho zařízení, díky němuž dokáže trackovat celý jeho pobyt na internetu. 

Kdo všechno může mít data Jumpshotu?

Jumpshot se v reklamních materiálech ohání referencemi mnohých zákazníků velkých jmen. Kupříkladu uvádí Microsoft, IBM a Google. Na základě kauzy:

1. Microsoft odpovídá, že v současnosti není s firmou Jumpshot nijak spojena; 
2. IBM zase uvádí, že nemá žádný záznam o tom, že by byl klientem Avastu či Jumpshotu a
3. Google na požadavek na vyjádření mlčí. 

Reakce typu mlčení je vůbec nejrozšířenější - obohacená ještě odmítnutím komentáře dané věci. Z velkých jmen stejně reagovaly McKinsey & Company a GfK. 

Data samozřejmě zpracovávají a přeprodávají i zákazníci Jumpshotu. Pátrání ukázalo, že velká množství dat končí v rukou finančníků věnujících se investicím do venture kapitálu. 

Co na to Avast?

Avast reagoval očekávatelně. Už dokonce v prosinci:

Bezpečnost a soukromí našich uživatelů jsou pro Avast absolutní prioritou, a proto máme funkční a komplexní proces na ochranu jejich dat. V posledních dnech se objevily zprávy o tom, že prodáváme osobní údaje třetím stranám, což není pravda.

Aby naše rozšíření prohlížeče mohla plnit svou úlohu, tedy detekovat a blokovat hrozby, potřebujeme, aby bylo možné shromažďovat informace o adresách URL. Tímto způsobem fungují naše ale i další antivirová řešení na trhu. Pro tuto činnost ale nepotřebujeme žádné osobní údaje. Abychom chránili soukromí našich uživatelů, jsou data, která shromažďujeme, zbavena všech osobně identifikovatelných informací (PII), což znamená, že jsou uloženy v neidentifikovatelném formátu.

Tato agregovaná statistická data také sdílíme s naší vlastní marketingovou analytickou společností, Jumpshot. 

Avast tedy jen sdílel - zatímco prodávala až dcerka Jumpshot. Stejně tak nevěrohodná jsou i ona deidentifikující data. Což vyplývá nejen z exkluzivních smluv, jaké uzavřely společnosti typu Omnicom Group Media, ale i z toho, že jsou sbírány řetězce komplexních dat, jejichž kombinace - stejně jako při fingerprintingu - vede k identifikaci unikátního uživatele. Nemluvě o případech, kdy si zákazník typu Amazonu, identifikuje své zákazníky už sám:)

Při dotazech na kauzu, se Avast snaží uzavřít s tím, že „už zcela přestal používat data shromažďovaná prostřednictvím doplňku prohlížeče k čemukoliv jinému, než funkci antiviru samotného. Tedy že je ani už nesdílí se společností Jumpshot. Nicméně už se nevyjádřil k tomu, co udělá s daty, která již shromáždit stačil.

Je v podstatě nemožné deidentifikovat data,

takový je závěr i bezpečnostních expertů. Když Avast hovoří o tom, že dochází k deidentifikaci dat, jen prohlubuje jámu nedůvěry. Logoval totiž každou navštívenou stránku společně s uživatelovou identifikací (ID řetězcem). A i když jsou pak data očištěna o uživatelská jména, emailové adresy a podobné identifikátory, naprostá deidentifikace je téměř nemožná. To říká i Eric Goldman, šéf High Tech Law na univerzitě v Santa Claře. „Je to prostě špatná obchodní praxe. Mají své zákazníky chránit před hrozbami, nikoliv je hrozbám vystavovat.“ 

„Jen těžko si lze představit jakýkoliv deidentifikační algoritmus, který by byl schopen odstranit všechna relevantní data. Existuje prostě příliš mnoho webů s příliš různými způsoby nakládání s daty a vytváření uživatelské zkušenosti,“ doplňuje Wladimir Palant, odborník kyberbezpečnosti. 

Zveřejnění kauzy následoval prudký pokles akcií Avastu na všech burzách na úrovních kolem 9 % ceny akcí. 

Zdroje

• PCMag.com, Avast, Jumpshot.com
• Fotka od SplitShire z Pixabay

 

Daniel Beránek, 28.01.2020 20:59

 

 

 

	Jarní aktualizace ZPS X: AI úpravy fotek rychleji, chytřeji, přesněji Český software Zoner Photo Studio X přichází s jarní aktualizací, která posouvá hranice fotoeditace na novou úroveň. Díky pokročilým AI nástrojům a dalším inovacím je práce s fotografiemi rychlejší, preciznější...
	Mistral Small 3: malý, ale s velkými možnostmi Francouzští vývojáři Mistral, známí svou láskou k open-source, přichází s novým AI modelem Mistral Small 3. S 24 miliardami parametrů je sice menší než konkurenční obři, zato však nabízí rychlost, nízké...
	DeepSeek R1 a Qwen2.5-Max: přijde osvěžení AI z Číny? Nové AI modely DeepSeek R1 a Qwen2.5-Max představují dva odlišné přístupy k tréninku a provozním nárokům, které by mohly zásadně ovlivnit budoucí vývoj umělé inteligence. Zatímco DeepSeek R1 se profiluje jako model postavený na...
	Grok od xAI: první kroky v podobě samostatné aplikace Grok, umělý inteligentní asistent od společnosti xAI, udělal další krok na cestě k větší dostupnosti. Coby samostatná aplikace se šíří na další platformy. Co Grok nabídne, kde ho již můžeme vyzkoušet a co teprve přijde? ...