Идентифицируемые данные включали поиск работы, направления на карте, «косплей-эротику».
Автор: Кевин Перди
Компания Avast, известная своими исследованиями в области безопасности и антивирусными приложениями, уже давно предлагает расширения для Chrome, мобильные приложения и другие инструменты, направленные на повышение конфиденциальности.
Приложения Avast «блокируют назойливые куки-файлы, собирающие данные о ваших действиях в браузере», и не позволяют веб-службам «отслеживать вашу активность в сети». В своей политике конфиденциальности Avast заявила, что собираемая ею информация будет «анонимной и обобщенной». В своей самой яростной риторике программное обеспечение Avast для настольных компьютеров утверждало, что оно не позволит «хакерам зарабатывать деньги на вашей истории поиска».
По данным Федеральной торговой комиссии США (FTC), все эти заявления были сделаны в то время, когда Avast собирала информацию о браузерах пользователей с 2014 по 2020 год, а затем продавала ее более чем 100 другим компаниям через закрывшуюся организацию, известную как Jumpshot. Согласно недавнему постановлению ФТК (PDF), компания Avast должна выплатить 16,5 миллиона долларов, которые, по словам ФТК, «будут использованы для возмещения ущерба потребителям». Компании Avast также будет запрещено продавать данные о просмотре веб-страниц в будущем, она должна получить явное согласие на сбор данных в будущем, уведомить клиентов о предыдущих продажах данных и внедрить «комплексную программу защиты конфиденциальности» для устранения последствий предыдущего поведения.
После обращения за комментарием Avast представила заявление, в котором говорится о закрытии Jumpshot в начале 2020 года. «Мы привержены нашей миссии — защищать и расширять возможности людей в цифровой жизни. Хотя мы не согласны с обвинениями FTC и описанием фактов, мы рады разрешить этот вопрос и с нетерпением ждем возможности продолжать обслуживать миллионы наших клиентов по всему миру» — говорится в заявлении.
Данные были далеко не анонимными
В жалобе FTC отмечается, что после того, как Avast приобрела тогдашнего конкурента антивируса Jumpshot в начале 2014 года, она провела ребрендинг компании как продавца аналитики. Jumpshot рекламировала, что предлагает «уникальные сведения» о привычках «более 100 миллионов онлайн-потребителей по всему миру». Это включало в себя возможность «видеть, куда направляется ваша аудитория до и после посещения вашего сайта или сайтов ваших конкурентов, и даже отслеживать тех, кто посещает определенный URL».
Хотя Avast и Jumpshot утверждали, что из данных удалена идентифицирующая информация, FTC утверждает, что этого «недостаточно». Предложения Jumpshot включали уникальный идентификатор устройства для каждого браузера, включенный в такие данные, как «All Clicks Feed», «Search Plus Click Feed», «Transaction Feed» и другие. В жалобе FTC подробно описано, как различные компании приобретали эти данные, часто с явной целью сопоставить их с собственными данными компании, вплоть до данных об отдельных пользователях. Некоторые контракты Jumpshot пытались запретить повторную идентификацию пользователей Avast, но «эти запреты были ограничены», отмечается в жалобе.
О связи между Avast и Jumpshot стало широко известно в январе 2020 года, после того как Vice и PC Magazine сообщили, что клиенты, включая Home Depot, Google, Microsoft, Pepsi и McKinsey, покупали данные у Jumpshot, что было видно из конфиденциальных контрактов. Информация, полученная изданиями, свидетельствовала, что покупатели могли приобретать данные, включая просмотры Google Maps, отдельные страницы LinkedIn и YouTube, порносайты и многое другое. «Это очень подробные данные, и они очень полезны для этих компаний, потому что они доходят до уровня устройства с временной меткой», — рассказал один из источников изданию Vice.
В жалобе FTC содержится более подробная информация о том, как Avast на своих собственных веб-форумах пыталась преуменьшить свое присутствие в Jumpshot. Avast утверждала, что Jumpshot предоставляются только неагрегированные данные и что при установке продукта пользователям сообщается о сборе данных для «лучшего понимания новых и интересных тенденций». Ни одно из этих утверждений не соответствовало действительности, считает FTC. А собранные данные были далеко не безвредны, учитывая их повторную идентификацию. Например, выборка всего из 100 записей показала посещение потребителями следующих страниц:
- академическая статья об исследовании симптомов рака груди;
- объявление сенатором Элизабет Уоррен о выдвижении своей кандидатуры на пост президента;
- курс CLE по налоговым льготам;
- правительственные вакансии в Форт-Миде, штат Мэриленд, с зарплатой более 100 000 долларов; ссылка (затем оборванная) на середину заявки на получение финансовой помощи (FAFSA);
- указания на картах Google от одного места к другому; испаноязычное детское видео на YouTube; ссылка на французский сайт знакомств, включая уникальный идентификатор пользователя;
- эротика.
В своем блоге старший юрист FTC Лесли Фэйр пишет, что, помимо двойственного характера продуктов Avast для обеспечения конфиденциальности и обширного отслеживания Jumpshot, FTC все чаще рассматривает данные о посещении сайтов как «очень чувствительную информацию, которая требует максимальной осторожности». «Данные о сайтах, которые посещает человек, — это не просто еще один корпоративный актив, открытый для беспрепятственной коммерческой эксплуатации» — пишет Фэйр.
Члены комиссии FTC проголосовали 3:0 за подачу жалобы и принятие предложенного соглашения о согласии. Председатель Лина Хан, а также члены комиссии Ребекка Слотер и Альваро Бедойя выступили с заявлением по поводу своего голосования.
С момента подачи жалобы в FTC компания Avast и ее бизнес Jumpshot были приобретены компанией Gen Digital, в состав которой входят Norton, Avast, LifeLock, Avira, AVG, CCLeaner и ReputationDefender, а также другие компании, занимающиеся безопасностью.
Оригинал: Ars Technica
