Антивирусное приложение компании Avast продает «каждый поисковый запрос», «каждый клик», «информацию о каждой покупке на каждом посещённом вами сайте». Среди покупателей: Home Depot, Google, Microsoft, Pepsi и McKinsey.
(публикуется с сокращениями)
Автор: Джозеф Кокс
Антивирусная программа, используемая сотнями миллионов людей по всему миру, продает персональные данные о просмотре веб-страниц многим крупнейшим компаниям в мире. Об этом свидетельствуют совместное расследование порталов Motherboard и PCMag. Материал основан на «слитых» документах компании, которые доказывают, что компания-владелец антивируса продаёт весьма конфиденциальные данные.
Документы, принадлежащие дочерней компании антивирусного гиганта Avast под названием Jumpshot, проливают новый свет на скрытую историю продаж персональных интернет-данных. Антивирус Avast, установленный на компьютере человека, собирает данные, а Jumpshot «перепаковывает» их в различные продукты, которые затем продаются многим крупнейшим компаниям в мире. Список покупателей включает в себя таких гигантов как Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit и многих других. Некоторые клиенты платили миллионы долларов за продукты, которые включают в себя так называемый «канал всех кликов», который может отслеживать поведение пользователей, клики и перемещение по веб-сайтам с высокой точностью.
По утверждению представителей Avast у компании более 435 миллионов активных пользователей в месяц, а Jumpshot собирает данные 100 миллионов устройств. Avast собирает данные пользователей, а затем предоставляет их в Jumpshot, но несколько пользователей Avast сообщили изданию Motherboard, что не знали, что их данные передаются третьим лицам.
По информации изданий Motherboard и PCMag эти персональные данные включали в себя Google поиск, локации и координаты GPS на Google Maps, страницы LinkedIn, частные видео на YouTube, а также информацию о посещённых порносайтах. С помощью собранного пула данных можно определить когда анонимный пользователь посещал YouPorn и PornHub, а в некоторых случаях даже поисковые запросы и конкретные просмотренные видео.
Хотя наборы данных не включают в себя персональную информацию, такую как имена пользователей, они по-прежнему содержат множество специфических данных, и эксперты говорят, что с их помощью деанонимизация конкретного лица не так уж и сложна.
В пресс-релизе, выпущенном в июле, Jumpshot заявляет, что является «единственной компанией, которая раскрывает ряд секретов», и стремится «предоставить маркетологам более глубокое представление об онлайн-активности клиентов». «Они очень детальны и представляют большой интерес для покупателей, потому что соответствуют уровню устройства с отметкой времени» — прокомментировал источник издания Motherboard, ссылаясь на специфику и чувствительность продаваемых данных.
До недавнего времени Avast собирал данные о посещениях тех клиентов, которые установили плагин для браузера, разработанный компанией, который предназначен для предупреждения пользователей о подозрительных веб-сайтах. Исследователь безопасности и создатель AdBlock Plus Владимир Палант в октябре опубликовал сообщение в блоге, в котором утверждается, что Avast собирает пользовательские данные с помощью этого плагина. Вскоре после этого производители браузеров Mozilla, Opera и Google удалили расширения Avast из своих соответствующих магазинов. Avast ранее объяснил этот сбор данных и обмен ими в блоге и сообщении на форуме в 2015 году. С тех пор Avast якобы прекратил отправлять данные просмотра, собранные этими расширениями.
Однако сбор данных продолжается, указывают источник и документы. Вместо сбора информации с помощью программного обеспечения, подключенного к браузеру, Avast делает это с помощью самого антивируса. На прошлой неделе, спустя месяцы после того, как он был обнаружен с помощью своих расширений браузера для отправки данных в Jumpshot, Avast начал просить клиентов своего антивируса разрешить сбор данных. «Если пользователи соглашаются, устройство начинает записывать всю онлайн-активность клиента, — говорится в руководстве по внутреннему продукту.
Motherboard и PCMag связались с более чем двумя десятками компаний, упомянутых во внутренних документах. Лишь немногие ответили на вопросы о том, что они делают с данными, основанными на истории просмотров пользователей Avast.
«Мы иногда используем информацию от сторонних поставщиков, чтобы помочь улучшить наш бизнес, продукты и услуги. Мы требуем, чтобы эти поставщики имели соответствующие права на предоставление этой информации нам. В этом случае мы получаем анонимные данные об аудитории, которые не могут быть использованы чтобы идентифицировать отдельных клиентов» — заявил представитель Home Depot по электронной почте.
Microsoft отказалась комментировать особенности приобретения продуктов у Jumpshot, но сказала, что у нее нет текущих отношений с компанией. Представитель Yelp написал в электронном письме: «В 2018 году, в рамках запроса антимонопольных органов о предоставлении информации, команду Yelp попросили оценить влияние Google на местный рынок поисковых систем. Jumpshot был задействован единовременно».
Southwest Airlines сообщили, что обсуждали сотрудничество с Jumpshot, но не достигли соглашения с компанией. IBM заявила, что не работали с Jumpshot, а Altria заявила, что она не работает с Jumpshot сейчас, хотя не указала, делала ли она это раньше. Sephora заявили, что это не работают с Jumpshot. Google не ответил на запрос комментария.
На своем веб-сайте и в пресс-релизах Jumpshot называет Pepsi, а также консалтинговых гигантов Bain & Company и McKinsey в качестве клиентов.
Помимо Expedia, Intuit и Loreal, в число других компаний, которые еще не упоминаются в публичных анонсах Jumpshot, входят кофейная компания Keurig, служба продвижения YouTube vidIQ и фирма Hitwise, специализирующаяся на изучении потребителей. Ни одна из этих компаний не ответила на запрос о комментариях.
На своем веб-сайте Jumpshot перечисляет некоторые предыдущие примеры использования своих данных. Например, Condé Nast использовал продукты Jumpshot, чтобы увидеть, привела ли реклама медийной компании к покупкам на Amazon и в других местах. Condé Nast не ответил на запрос о комментарии.
Jumpshot продает различные продукты на основе данных, собранных антивирусным программным обеспечением Avast, установленным на компьютерах пользователей. Клиенты в секторе институциональных финансов часто покупают каналы из 10000 доменов, которые посещают пользователи Avast, чтобы попытаться определить тренды, говорится в руководстве по продукту.
Другим продуктом Jumpshot является так называемый «All Click Feed». Это позволяет клиенту покупать информацию обо всех кликах, которые Jumpshot видел на конкретном домене, таких как Amazon.com, Walmart.com, Target.com, BestBuy.com или Ebay.com.
В своем твите, опубликованном в прошлом месяце с целью привлечь новых клиентов, Jumpshot отметил, что он собирает «Каждый поиск. Каждый клик. Информацию о каждой покупке на каждом сайте».
Данные Jumpshot могут показать, как кто-то с установленным на своем компьютере антивирусом Avast искал продукт в Google, щелкнул на ссылку, которая вела на Amazon, а затем, возможно, добавил товар в свою корзину на другом веб-сайте, прежде чем, наконец, купить продукт.
Одной из компаний, которая приобрела All Clicks, является нью-йоркская маркетинговая фирма Omnicom Media Group. Согласно контракту, Omnicom заплатил Jumpshot $ 2 075 000 за доступ к данным в 2019 году. Сделка также включала еще один продукт под названием «Insight Feed» для 20 различных доменов. Плата за данные в 2020, а затем и в 2021 году указана в 2 225 000 долл. США и 2 275 000 долл. США соответственно, говорится в документе.
Jumpshot предоставил Omnicom доступ ко всем каналам кликов из 14 различных стран мира, включая США, Англию, Канаду, Австралию и Новую Зеландию. Продукт также включает в себя предполагаемый пол пользователей «на основе поведения при просмотре», их предполагаемый возраст и «всю строку URL», но с удаленной информацией, позволяющей установить личность (PII).
Omnicom не ответил на несколько запросов о комментарии.
Согласно контракту, «идентификатор устройства» каждого пользователя хэшируется, а это означает, что компания, покупающая данные, не должна быть в состоянии определить, кто именно стоит за каждым элементом просмотра. Вместо этого предполагается, что продукты Jumpshot помогут компаниям понять, какие товары особенно популярны или насколько эффективна рекламная кампания.
Но данные Jumpshot не могут быть полностью анонимными. Во внутреннем руководстве по продукту говорится, что идентификаторы устройств не меняются для каждого пользователя, «если пользователь полностью не удаляет и не переустанавливает программное обеспечение безопасности». Многочисленные статьи и научные исследования показали, что вполне возможно разоблачить людей, используя так называемые анонимные данные. В 2006 году репортеры New York Times смогли идентифицировать конкретного человека по кэшу предположительно анонимных поисковых данных, которые публично опубликовала компания AOL. Хотя проверенные данные были в большей степени ориентированы на ссылки в социальных сетях, которые Jumpshot отредактировал, исследование, проведенное в 2017 году в Стэнфордском университете, показало, что можно идентифицировать людей по анонимным данным в Интернете.
Motherboard и PCMag задали Avast ряд подробных вопросов о том, как она защищает анонимность пользователей, а также запросили подробную информацию о некоторых контрактах компании. Avast не ответил на большинство вопросов, но опубликовал заявление: «Благодаря нашему подходу мы гарантируем, что Jumpshot не получит личную идентификационную информацию, включая имя, адрес электронной почты или контактные данные людей, использующих наше популярное бесплатное антивирусное программное обеспечение».
«У пользователей всегда была возможность отказаться от обмена данными с Jumpshot. По состоянию на июль 2019 года, мы уже начали реализовывать явный выбор для всех новых загрузок нашего антивируса, и теперь мы также запрашиваем согласие наших существующих бесплатных пользователей — процесс, который будет завершен в феврале 2020 года» — сказал представитель Avast, добавив, что компания соблюдает Калифорнийский закон о защите прав потребителей (CCPA) и общие европейские правила защиты данных (GDPR) для всей своей глобальной пользовательской базы.
«У нас большой опыт защиты пользовательских устройств и данных от вредоносных программ, и мы понимаем и серьезно относимся к ответственности за обеспечение баланса конфиденциальности пользователей с необходимым использованием данных» — говорится в заявлении.
Когда журналист PCMag впервые установил антивирусный продукт Avast в этом месяце, программа спросила, хочет ли он участвовать в сборе данных.
«Если вы позволите, мы предоставим нашей дочерней компании Jumpshot Inc. выделенный и де-идентифицированный набор данных, полученный из вашей истории посещенных страниц, с тем чтобы Jumpshot могли анализировать рынки и тенденции бизнеса и собирать другие ценные сведения» — говорится в сообщении. Однако во всплывающем окне не было подробно описано, как конкретно Jumpshot использует эти данные.
«Информация полностью деидентифицирована и агрегирована, её нельзя использовать для личной идентификации. Jumpshot может делиться агрегированной информацией со своими клиентами» — добавило всплывающее окно.
Обновление: после выхода этого расследования компания Avast объявила, что приостанавливает сбор данных с помощью Jumpshot.
Оригинал: VICE
