Avasts antivirus-app selger "hvert søk", "hvert klikk", "hvert kjøp på hvert nettsted du besøker." Kjøpere inkluderer Home Depot, Google, Microsoft, Pepsi og McKinsey.
(utgitt med forkortelser)
Brukt av hundrevis av millioner mennesker rundt om i verden, selger et antivirusprogram personlig data om nettlesing til mange av de største selskapene i verden. Dette er dokumentert av en felles undersøkelse av portaler Motherboard og PCMag. Materialet er basert på "lekkede" firmadokumenter som viser at selskapet som eier antivirus selger meget konfidensielle data.
Dokumentene, eid av Jumpshot, et datterselskap av antivirusgiganten Avast, kaster nytt lys over den skjulte historien om å selge personlige internettdata. Avast antivirus installert på en persons datamaskin samler inn data, og Jumpshot “pakker” det inn i forskjellige produkter, som deretter selges til mange av de største selskapene i verden. Handlelisten inkluderer giganter som Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit og mange flere. Noen kunder har betalt millioner av dollar for produkter som inkluderer en såkalt "alle-klikk-kanal", som kan spore brukeratferd, klikk og navigering på nettstedet med høy nøyaktighet.
Avast hevder å ha over 435 millioner månedlige aktive brukere, og Jumpshot samler inn data fra 100 millioner enheter. Avast samler inn brukerdata og sender dem deretter til Jumpshot, men flere avast-brukere sa til Motherboard at de ikke var klar over at dataene deres ble delt med tredjeparter.
I følge Motherboard og PCMag inkluderte disse personopplysningene Google-søk, Google Maps-lokasjoner og GPS-koordinater, LinkedIn-sider, private YouTube-videoer og informasjon om besøkte pornosider. Ved hjelp av det innsamlede datapoolet er det mulig å bestemme når en anonym bruker har besøkt YouPorn og PornHub, og i noen tilfeller til og med søk og spesifikke videoer som er sett.
Selv om datasettene ikke inkluderer personlig informasjon, for eksempel brukernavn, inneholder de fremdeles mye spesifikke data, og eksperter sier at det ikke er så vanskelig å avnamonisere en bestemt person som bruker dem.
I en pressemelding utstedt i juli hevder Jumpshot å være "det eneste selskapet som avslører en rekke hemmeligheter," og er opptatt av å "gi markedsførere en dypere forståelse av kundens online aktivitet." "De er veldig detaljerte og av stor interesse for kjøpere, fordi de tilsvarer enhetsnivået med et tidsstempel," kommenterte kilden til Motherboard og siterer detaljene og følsomheten til dataene som selges.
Salgsfremmende video:
Inntil nylig samlet Avast trafikkdata fra kunder som installerte en nettleser-plug-in utviklet av selskapet for å varsle brukere om mistenkelige nettsteder. Sikkerhetsforsker og skaper av AdBlock Plus, Vladimir Palant, la ut et blogginnlegg i oktober med påstand om at Avast samler inn brukerdata ved å bruke plugin-modulen. Like etter fjernet nettleserprodusentene Mozilla, Opera og Google Avast-utvidelsene fra sine respektive butikker. Avast har tidligere forklart denne datainnsamlingen og delingen i et blogg og et foruminnlegg i 2015. Siden den gang har Avast angivelig sluttet å sende surfedata samlet inn av disse utvidelsene.
Innsamlingen av data fortsetter imidlertid, viser kilden og dokumentene. I stedet for å samle inn informasjon ved hjelp av programvare koblet til nettleseren, gjør Avast det ved å bruke antiviruset selv. Forrige uke, måneder etter at det ble oppdaget å bruke nettleserutvidelser for å sende data til Jumpshot, begynte Avast å be antiviruskundene sine om å tillate innsamling av data. "Hvis brukerne er enige, begynner enheten å registrere all kundens online aktivitet," står det i den interne produkthåndboken.
Hovedkort og PCMag tok kontakt med mer enn to dusin selskaper som er nevnt i interne innleveringer. Få svarte på spørsmål om hva de gjør med data basert på leserhistorikken til Avast-brukere.
Vi bruker noen ganger informasjon fra tredjepartsleverandører for å forbedre vår virksomhet, produkter og tjenester. Vi krever at disse leverandørene har de riktige rettighetene til å gi denne informasjonen til oss. I dette tilfellet mottar vi anonyme publikumsdata som ikke kan brukes til å identifisere enkeltkunder,”sa en talsperson for Home Depot via e-post.
Microsoft nektet å kommentere detaljene rundt anskaffelse av produkter fra Jumpshot, men sa at det ikke hadde et løpende forhold til selskapet. En talsperson for Yelp skrev i en e-post: “I 2018, som en del av en antitrustforespørsel om informasjon, ble Yelp-teamet bedt om å vurdere Googles innvirkning på det lokale søkemotormarkedet. Jumpshot ble brukt om gangen."
Southwest Airlines sa at det har diskutert et partnerskap med Jumpshot, men har ikke oppnådd en avtale med selskapet. IBM sa at det ikke fungerte med Jumpshot, og Altria sa at det ikke fungerte med Jumpshot nå, selv om det ikke indikerte om det gjorde det før. Sephora uttalte at dette ikke fungerer med Jumpshot. Google svarte ikke på en forespørsel om kommentar.
På sin hjemmeside og i pressemeldinger navngir Jumpshot Pepsi samt konsulentgigantene Bain & Company og McKinsey som klienter.
I tillegg til Expedia, Intuit og Loreal, inkluderer andre selskaper som ennå ikke er omtalt i Jumpshots offentlige kunngjøringer, kaffeselskapet Keurig, YouTube vidIQ, og Hitwise, et konsumentundersøkelsesfirma. Ingen av disse selskapene svarte på en forespørsel om kommentar.
På nettstedet viser Jumpshot noen av de tidligere brukstilfellene for dataene. Condé Nast brukte for eksempel Jumpshot-produkter for å se om et mediebedrifts annonse førte til kjøp på Amazon og andre steder. Condé Nast svarte ikke på en forespørsel om kommentar.
Jumpshot selger forskjellige produkter basert på data samlet inn av Avast antivirusprogramvare installert på brukernes datamaskiner. Kunder i den institusjonelle finanssektoren kjøper ofte kanaler fra 10.000 domener som Avast-brukere besøker for å prøve å oppdage trender, sier produktguiden.
Et annet Jumpshot-produkt er det såkalte "All Click Feed". Dette lar kunden kjøpe informasjon om alle klikkene Jumpshot har sett på et bestemt domene, for eksempel Amazon.com, Walmart.com, Target.com, BestBuy.com eller Ebay.com.
I en tweet lagt ut forrige måned med målet om å tiltrekke nye kunder, bemerket Jumpshot at han samler “Hvert søk. Hvert klikk. Informasjon om hvert kjøp på hvert nettsted."
Jumpshot-data kan vise at noen med Avast installert på datamaskinen sin, googler et produkt, klikker på en lenke som førte til Amazon, og deretter eventuelt la varen til handlekurven sin på et annet nettsted før du til slutt, kjøp et produkt.
Et av selskapene som kjøpte All Clicks er det New York-baserte markedsføringsfirmaet Omnicom Media Group. I henhold til kontrakten betalte Omnicom Jumpshot 2.075.000 dollar for datatilgang i 2019. Avtalen inkluderte også et annet produkt kalt Insight Feed for 20 forskjellige domener. Datakostnader i 2020 og deretter i 2021 er angitt til henholdsvis 2.225.000 dollar og 2.275.000 dollar, heter det i dokumentet.
Jumpshot ga Omnicom tilgang til alle klikk-kanaler fra 14 forskjellige land rundt om i verden, inkludert USA, England, Canada, Australia og New Zealand. Produktet inkluderer også det tiltenkte kjønn for brukere "basert på surfeatferd", deres estimerte alder og "hele URL-streng", men med personlig identifiserbar informasjon (PII) fjernet.
Omnicom svarte ikke på flere forespørsler om kommentar.
Ved kontrakt hashes hver enhets “enhets-ID”, noe som betyr at selskapet som kjøper dataene ikke trenger å være i stand til å bestemme hvem som er nøyaktig bak hvert syn. I stedet er det meningen at Jumpshot-produkter skal hjelpe selskaper å forstå hvilke produkter som er spesielt populære eller hvor effektiv en reklamekampanje er.
Men Jumpshot-data kan ikke være helt anonyme. Den interne produkthåndboken sier at enhets-IDene ikke endres for hver bruker "med mindre brukeren fullstendig avinstallerer og installerer sikkerhetsprogramvaren på nytt." Tallrike artikler og vitenskapelige studier har vist at det er fullt mulig å eksponere personer som bruker såkalte anonyme data. I 2006 kunne New York Times-reportere identifisere en spesifikk person fra en cache med antatt anonym søkedata som AOL offentlig ga ut. Mens de bekreftede dataene var mer fokusert på koblinger til sosiale medier som Jumpshot redigerte, fant en studie fra 2017 ved Stanford University at det var mulig å identifisere personer fra anonyme data på nettet.
Hovedkort og PCMag stilte en rekke detaljerte spørsmål om hvordan det beskytter brukernes anonymitet, og ba om detaljer om noen av selskapets kontrakter. Avast svarte ikke på de fleste spørsmålene, men ga ut en uttalelse: "Gjennom vår tilnærming sikrer vi at Jumpshot ikke mottar personlig identifiserbar informasjon, inkludert navn, e-postadresse eller kontaktinformasjon til personer som bruker vår populære gratis antivirusprogramvare."
“Brukere har alltid hatt muligheten til å velge bort kommunikasjonen med Jumpshot. Fra juli 2019 har vi allerede begynt å implementere eksplisitte valg for alle nye nedlastinger av antiviruset vårt, og vi ber nå også samtykke fra våre eksisterende gratis brukere - en prosess som vil bli fullført i februar 2020,”sa en talsperson for Avast, og la til at selskapet er i samsvar med California Consumer Protection Act (CCPA) og General European Data Protection Regulation (GDPR) for hele sin globale brukerbase.
"Vi har en lang historie med å beskytte brukerenheter og data mot skadelig programvare, og vi forstår og tar på alvor ansvaret for å balansere brukernes personvern med nødvendig bruk av data," heter det i uttalelsen.
Da en PCMag-journalist først installerte Avasts antivirusprodukt denne måneden, spurte programmet om han ønsket å delta i datainnsamlingen.
“Hvis du vil, vil vi tilby datterselskapet Jumpshot Inc. et dedikert og avidentifisert datasett hentet fra nettleserhistorikken din, slik at Jumpshot kan analysere markeder og forretningstrender og samle annen verdifull innsikt,”heter det i meldingen. Pop-up-en opplyste imidlertid ikke nøyaktig hvordan Jumpshot bruker disse dataene.
“Informasjonen er fullstendig avidentifisert og samlet, den kan ikke brukes til personlig identifikasjon. Jumpshot kan dele samlet informasjon med kundene sine,”la en popup til.
Oppdatering: Etter utgivelsen av denne undersøkelsen kunngjorde Avast at den stanser datainnsamlingen ved bruk av Jumpshot.
Av Joseph Cox
