[ Zavřít ] 


 

RSS Kanál

 

Avast prodával své uživatele marketérům

Každé ZADARMO bývá zaplaceno. Což právě dokázal Avast všem uživatelům antivirů Avast FREE a AVG FREE. Jak se portálu PCMag a Motherboard podařilo zjistit, prodával Avast data shromážděná mimo jiné i prostřednictvím bezplatných verzí produktů Avast a AVG třetím stranám prostřednictvím dceřiné společnosti Jumpshot. Nebojte, že by informace o vás měl kdekdo - jejich cena se pohybovala v miliónech USD a dovolit si je mohli jen Microsoft, Google, Coca Cola, TripAdvisor, Yelp, Pepsi...

 

Avast místo slíbené ochrany své uživatele zaprodal za více než 30 stříbrných (Zdroj: Avast)

Firmu Jumpshot koupil Avast jakožto vývojáře programů pro optimalizaci Windows a počítače. Nicméně Jumpshot se ve stáji Avastu zabývá zpracování a analýzou velkých dat, a to sice pro marketingové účely. A právě prostřednictvím dceřiné společnosti Jumpshot prodával Avast data.

Jaká je nabídka společnosti Jumpshot?

Investigativcům se podařilo dostat k nabídce produktů firmy Jumpshot, k interním dokumentům i k exkluzivní smlouvě se společností Omnicom Media Group. Jumpshot nabízí:

  • vyhledávání a výsledky - jeden z produktů se zaměřuje na vyhledávání včetně použitých klíčových slov a následně odkliknutých výsledků. Při analýze vzorku sebraných dat jsme viděli jak logy běžných témat, tak citlivá vyhledávání zaměřeného na porno - včetně porna nezletilých, tedy informací, s nimiž by nikdo nechtěl být spojován, komentuje Michael Kan, investigativec PCMag;
  • preferovaný multimediální obsah - další z produktů je navržen tak, aby trackoval, která videa uživatelé sledují na YouTube, Facebooku a Instagramu
  • způsob výběru e-shopu - další z produktů je postaven kolem toho, jak uživatelé přicházejí na konkrétní doménu e-commerce

Naprosto vše - All Clicks Feed - včetně 

V prosinci 2018 podepsala Jumpshot exkluzivní smlouvu s Omnicom Media Group, obřím poskytovatelem marketingových služeb. Předmětem této smlouvy je produkt označený coby All Clicks Feed, tedy výčet naprosto každého kliku v sérii uživatelova brouzdání internetem. Běžně je z tohoto produktu vynechána identifikace uživatelských zařízení. Ale exkluzivní smlouva s Omnicom Media Group zahrnuje i unikátní identifikátor uživatelova zařízení. 

„Navíc smlouva požaduje, aby společnost Jumpshot dodávala URL každé navštívené stránky, URL každé odkazující stránky, časové známky až na úroveň milisekund - a to společně s odhadem věku a pohlaví uživatele.“ Tato smlouva vešla v platnost v lednu 2019, je podepsána na 3 roky a Jumpshotu z ní pramení 6,5 miliónu USD. 

Zjistěte přesně, kde nakupující nakupují - zní ta explicitní část nabídky Jumpshot (Zdroj: Jumpshot.com)

Ukázkový řetězec prodávaných dat

PCMag, kterému se podařilo získat několik vzorků prodávaných dat, exemplifikuje na příkladu, jak vypadaly řetězce prodávaných dat:

Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 - 2017 Model - 256GB, Rose Gold Behavior: Add to Cart

Někomu by se taková data mohla zdát neškodná. Jinému ne. Máme zde totiž přesný čas, doménu a identifikátor zařízení. Když vše zjednodušíme na minimum, tak minimálně Amazon.com dokáže z daných dat zcela přesně určit, kdo v danou chvíli vložil do košíku na jeho doméně produkt Apple iPad Pro 10.5 - 2017 Model - 256GB, Rose Gold. A co víc - nyní už má k dispozici identifikátor jeho zařízení, díky němuž dokáže trackovat celý jeho pobyt na internetu. 

Kdo všechno může mít data Jumpshotu?

Jumpshot se v reklamních materiálech ohání referencemi mnohých zákazníků velkých jmen. Kupříkladu uvádí Microsoft, IBM a Google. Na základě kauzy:

  1. Microsoft odpovídá, že v současnosti není s firmou Jumpshot nijak spojena; 
  2. IBM zase uvádí, že nemá žádný záznam o tom, že by byl klientem Avastu či Jumpshotu a
  3. Google na požadavek na vyjádření mlčí. 

Reakce typu mlčení je vůbec nejrozšířenější - obohacená ještě odmítnutím komentáře dané věci. Z velkých jmen stejně reagovaly McKinsey & Company a GfK

Data samozřejmě zpracovávají a přeprodávají i zákazníci Jumpshotu. Pátrání ukázalo, že velká množství dat končí v rukou finančníků věnujících se investicím do venture kapitálu. 

Co na to Avast?

Avast reagoval očekávatelně. Už dokonce v prosinci:

Bezpečnost a soukromí našich uživatelů jsou pro Avast absolutní prioritou, a proto máme funkční a komplexní proces na ochranu jejich dat. V posledních dnech se objevily zprávy o tom, že prodáváme osobní údaje třetím stranám, což není pravda.

Aby naše rozšíření prohlížeče mohla plnit svou úlohu, tedy detekovat a blokovat hrozby, potřebujeme, aby bylo možné shromažďovat informace o adresách URL. Tímto způsobem fungují naše ale i další antivirová řešení na trhu. Pro tuto činnost ale nepotřebujeme žádné osobní údaje. Abychom chránili soukromí našich uživatelů, jsou data, která shromažďujeme, zbavena všech osobně identifikovatelných informací (PII), což znamená, že jsou uloženy v neidentifikovatelném formátu.

Tato agregovaná statistická data také sdílíme s naší vlastní marketingovou analytickou společností, Jumpshot. 

Avast tedy jen sdílel - zatímco prodávala až dcerka Jumpshot. Stejně tak nevěrohodná jsou i ona deidentifikující data. Což vyplývá nejen z exkluzivních smluv, jaké uzavřely společnosti typu Omnicom Group Media, ale i z toho, že jsou sbírány řetězce komplexních dat, jejichž kombinace - stejně jako při fingerprintingu - vede k identifikaci unikátního uživatele. Nemluvě o případech, kdy si zákazník typu Amazonu, identifikuje své zákazníky už sám:)

Při dotazech na kauzu, se Avast snaží uzavřít s tím, že „už zcela přestal používat data shromažďovaná prostřednictvím doplňku prohlížeče k čemukoliv jinému, než funkci antiviru samotného. Tedy že je ani už nesdílí se společností Jumpshot. Nicméně už se nevyjádřil k tomu, co udělá s daty, která již shromáždit stačil.

Pokusy odstranit identifikující data z komplexních informací zůstávají poněkud neumělými (Zdroj: Pixabay.com)

Je v podstatě nemožné deidentifikovat data,

takový je závěr i bezpečnostních expertů. Když Avast hovoří o tom, že dochází k deidentifikaci dat, jen prohlubuje jámu nedůvěry. Logoval totiž každou navštívenou stránku společně s uživatelovou identifikací (ID řetězcem). A i když jsou pak data očištěna o uživatelská jména, emailové adresy a podobné identifikátory, naprostá deidentifikace je téměř nemožná. To říká i Eric Goldman, šéf High Tech Law na univerzitě v Santa Claře. „Je to prostě špatná obchodní praxe. Mají své zákazníky chránit před hrozbami, nikoliv je hrozbám vystavovat.“ 

„Jen těžko si lze představit jakýkoliv deidentifikační algoritmus, který by byl schopen odstranit všechna relevantní data. Existuje prostě příliš mnoho webů s příliš různými způsoby nakládání s daty a vytváření uživatelské zkušenosti,“ doplňuje Wladimir Palant, odborník kyberbezpečnosti. 

Zveřejnění kauzy následoval prudký pokles akcií Avastu na všech burzách na úrovních kolem 9 % ceny akcí. 

Zdroje

 

 

 

 

 

Lidé.cz končí

Seznam po třiadvaceti letech ukončí platformu Lidé.cz. Nedaří se jí konkurovat velkým sociálním sítí. Nepřitahuje dostatečnou návštěvnost. Negeneruje zisky odpovídající provozu. A navíc čelí nárůstu nákladů spojených...

Chrome 87 startuje až o čtvrtinu rychleji

Chrome v 87. vydání nejen startuje až o čtvrtinu rychleji, ale také rychleji načítá weby a méně žere RAM. Navíc dokáže snížit vytížení procesoru až pětkrát. V důsledku všechny optimalizace vedou i k úsporám energie, což se rovná...

Jupyter. Nikoliv hrubka, ale malware

Jupyter je trojan. Malware cílený na odcizování informací, a to především přihlašovacích údajů, hesel a brouzdací historie. V napadených systémech ovšem nechává otevřená zadní vrátka backdooru, přes která může...

Google Fotky už nebudou neomezeně zdarma

Google Fotky a možnost jejich neomezeného ukládání ve vysoké kvalitě zdarma končí. Google dlouho uživatelům nabízel ukládání zcela zdarma, aniž by velikost fotek a videí ve vysoké kvalitě ukrajovala z bezplatného úložiště Google Disku. Ale ani...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama