Ihr Antivirenprogramm sollte Sie schützen, aber was ist, wenn es Ihren Browserverlauf an ein großes Marketingunternehmen weitergibt?
Entspannen.
Dies teilte Avast der Öffentlichkeit mit, nachdem festgestellt wurde, dass seine Browsererweiterungen Benutzerdaten sammeln, um sie an Vermarkter weiterzuleiten.
Im vergangenen Monat versuchte das Antiviren-Unternehmen, die Praxis zu rechtfertigen, indem es behauptete, die gesammelten Web-Historien seien vor der Übergabe von den persönlichen Daten der Benutzer befreit worden.
"Die Daten sind vollständig deidentifiziert und aggregiert und können nicht dazu verwendet werden, Sie persönlich zu identifizieren oder auf Sie abzuzielen", sagte Avast gegenüber Benutzern, die sich für die gemeinsame Nutzung von Daten entscheiden.
Im Gegenzug bleibt Ihre Privatsphäre gewahrt, Avast wird bezahlt und Online-Vermarkter erhalten eine Fülle von "aggregierten" Verbraucherdaten, um mehr Produkte verkaufen zu können.
Es gibt nur ein Problem: Was ein riesiger Teil anonymisierter Webprotokolldaten sein sollte, kann laut einer gemeinsamen Untersuchung von Daxdi und Motherboard tatsächlich auseinandergenommen und mit einzelnen Avast-Benutzern verknüpft werden.
Wie 'De-Identification' fehlschlagen kann
Die mit dem Verkauf der Daten beauftragte Avast-Abteilung ist Jumpshot, eine Tochtergesellschaft des Unternehmens, die den Zugriff auf den Benutzerverkehr von 100 Millionen Geräten, einschließlich PCs und Telefonen, anbietet.
Im Gegenzug können Kunden - von großen Marken bis hin zu E-Commerce-Anbietern - erfahren, was Verbraucher kaufen und wo, sei es über eine Google- oder Amazon-Suche, eine Anzeige aus einem Nachrichtenartikel oder einen Beitrag auf Instagram.
Die gesammelten Daten sind so detailliert, dass Clients die einzelnen Klicks anzeigen können, die Benutzer in ihren Browsersitzungen ausführen, einschließlich der Zeit bis zur Millisekunde.
Während die gesammelten Daten niemals mit dem Namen, der E-Mail-Adresse oder der IP-Adresse einer Person verknüpft sind, wird jeder Benutzerverlauf dennoch einer Kennung namens Geräte-ID zugewiesen, die bestehen bleibt, sofern der Benutzer das Avast-Antivirenprodukt nicht deinstalliert.
Zum Beispiel kann ein einzelner Klick theoretisch so aussehen:
Geräte ID: abc123x Datum: 01.12.2019 Stunde Minute Sekunde: 12:03:05 Domain: Amazon.com Produkt: Apple iPad Pro 10.5 - 2017 Modell - 256 GB, Roségold Verhalten: in den Warenkorb legen
Auf den ersten Blick sieht der Klick harmlos aus.
Sie können es nicht einem genauen Benutzer zuordnen.
Das heißt, es sei denn, Sie sind Amazon.com, was leicht herausfinden könnte, welcher Amazon-Benutzer am 1.
Dezember 2019 um 12:03:05 Uhr ein iPad Pro gekauft hat.
Plötzlich ist die Geräte-ID: 123abcx ein bekannter Benutzer.
Und was auch immer Jumpshot sonst noch über die Aktivitäten von 123abcx zu tun hat - von anderen E-Commerce-Käufen bis hin zu Google-Suchanfragen - ist nicht mehr anonym.
Daxdi und Motherboard erfuhren von einer Quelle, die mit den Produkten von Jumpshot vertraut ist, über die Details der Datenerfassung.
Und Datenschutz-Experten, mit denen wir gesprochen haben, waren sich einig, dass die Zeitstempelinformationen, persistenten Geräte-IDs und die gesammelten URLs analysiert werden könnten, um die Identität einer Person preiszugeben.
"Die meisten Bedrohungen durch die De-Anonymisierung - bei der Sie Personen identifizieren - beruhen auf der Möglichkeit, die Informationen mit anderen Daten zusammenzuführen", sagte Gunes Acar, ein Datenschutzforscher, der sich mit Online-Tracking befasst.
Er weist darauf hin, dass große Unternehmen wie Amazon, Google sowie Markeneinzelhändler und Marketingfirmen ganze Aktivitätsprotokolle für ihre Benutzer sammeln können.
Mit den Daten von Jumpshot haben die Unternehmen eine weitere Möglichkeit, die digitalen Fußabdrücke der Benutzer über das Internet zu verfolgen.
"Vielleicht identifizieren die (Jumpshot-) Daten selbst keine Personen", sagte Acar.
"Vielleicht ist es nur eine Liste von gehashten Benutzer-IDs und einigen URLs.
Aber es kann immer mit anderen Daten von anderen Vermarktern, anderen Werbetreibenden kombiniert werden, die im Grunde genommen zur tatsächlichen Identität gelangen können."
Der "All Clicks Feed"
Laut internen Dokumenten bietet Jumpshot eine Vielzahl von Produkten an, die gesammelte Browserdaten auf unterschiedliche Weise bereitstellen.
Ein Produkt konzentriert sich beispielsweise auf Suchvorgänge, die von Personen durchgeführt werden, einschließlich der verwendeten Schlüsselwörter und der Ergebnisse, auf die geklickt wurde.
Wir haben uns eine Momentaufnahme der gesammelten Daten angesehen und Protokolle mit Abfragen zu alltäglichen Themen gesehen.
Es gab aber auch sensible Suchanfragen nach Pornos - einschließlich minderjähriger Sex - Informationen, die niemand mit ihnen in Verbindung bringen möchte.
Andere Jumpshot-Produkte dienen dazu, zu verfolgen, welche Videos Benutzer auf YouTube, Facebook und Instagram ansehen.
Eine andere dreht sich um die Analyse einer ausgewählten E-Commerce-Domain, um Marketingfachleuten zu helfen, zu verstehen, wie Benutzer sie erreichen.
In Bezug auf einen bestimmten Kunden scheint Jumpshot jedoch Zugriff auf alles geboten zu haben.
Im Dezember 2018 unterzeichnete die Omnicom Media Group, ein bedeutender Marketinganbieter, einen Vertrag über den Erhalt des so genannten "All Clicks Feed" oder jedes Klicks, den Jumpshot von Avast-Benutzern sammelt.
Normalerweise wird der All-Clicks-Feed ohne Geräte-IDs verkauft, "um vor der Triangulation von PII (personenbezogenen Daten) zu schützen", heißt es im Produkthandbuch von Jumpshot.
Wenn es jedoch um Omnicom geht, liefert Jumpshot das Produkt vertragsgemäß mit Geräte-IDs, die an jeden Klick angehängt sind.
Darüber hinaus sieht der Vertrag vor, dass Jumpshot die URL-Zeichenfolge für jede besuchte Site, die verweisende URL, die Zeitstempel bis zur Millisekunde sowie das vermutete Alter und Geschlecht des Benutzers bereitstellt, die basierend auf den Sites der Person abgeleitet werden können Besuch.
Es ist unklar, warum Omnicom die Daten will.
Das Unternehmen hat auf unsere Fragen nicht geantwortet.
Der Vertrag wirft jedoch die beunruhigende Aussicht auf, dass Omnicom die Daten von Jumpshot entschlüsseln kann, um einzelne Benutzer zu identifizieren.
Obwohl Omnicom selbst keine große Internetplattform besitzt, werden die Jumpshot-Daten an eine Tochtergesellschaft namens Annalect gesendet, die Technologielösungen anbietet, mit denen Unternehmen ihre eigenen Kundeninformationen mit Daten von Drittanbietern zusammenführen können.
Der Dreijahresvertrag trat im Januar 2019 in Kraft und ermöglicht Omnicom den Zugriff auf die täglichen Click-Stream-Daten in 14 Märkten, darunter den USA, Indien und Großbritannien.
Im Gegenzug erhält Jumpshot 6,5 Millionen US-Dollar.
Wer sonst möglicherweise Zugriff auf die Daten von Jumpshot hat, bleibt unklar.
Auf der Website des Unternehmens heißt es, es habe mit anderen Marken wie IBM, Microsoft und Google zusammengearbeitet.
Microsoft sagte jedoch, es habe keine aktuelle Beziehung zu Jumpshot.
IBM hingegen hat "keine Aufzeichnungen" darüber, dass es sich um einen Client von Avast oder Jumpshot handelt.
Google hat auf eine Anfrage nach einem Kommentar nicht geantwortet.
Weitere Kunden, die im Marketing von Jumpshot erwähnt werden, sind neben dem TurboTax-Anbieter Intuit die Konsumgüterunternehmen Unilever, Nestle Purina und Kimberly-Clark.
Ebenfalls genannt werden die Marktforschungs- und Beratungsunternehmen McKinsey & Company und GfK, die sich weigerten, ihre Partnerschaft mit Jumpshot zu kommentieren.
Versuche, andere Kundenbeziehungen zu bestätigen, wurden größtenteils ohne Antwort beantwortet.
Die von uns erhaltenen Dokumente zeigen jedoch, dass die Jumpshot-Daten möglicherweise an Risikokapitalunternehmen gehen.
"Es ist fast unmöglich, Daten zu identifizieren"
Wladimir Palant ist der Sicherheitsforscher, der im vergangenen Monat die öffentliche Kontrolle der Datenerfassungsrichtlinien von Avast ausgelöst hat.
Im Oktober bemerkte er etwas Seltsames an den Browsererweiterungen des Antiviren-Unternehmens: Sie protokollierten jede besuchte Website zusammen mit einer Benutzer-ID und sendeten die Informationen an Avast.
Die Ergebnisse veranlassten ihn, die Erweiterungen als Spyware zu bezeichnen.
Als Reaktion darauf haben Google und Mozilla sie vorübergehend entfernt, bis Avast neue Datenschutzbestimmungen implementiert hat.
Dennoch hat Palant versucht zu verstehen, was Avast bedeutet, wenn es sagt, dass es die Browser-Historien der Benutzer "deidentifiziert" und "aggregiert", wenn das Antiviren-Unternehmen es unterlassen hat, den genauen technischen Prozess öffentlich bekannt zu geben.
"Aggregation würde normalerweise bedeuten, dass Daten mehrerer Benutzer kombiniert werden.
Wenn Jumpshot-Clients immer noch Daten einzelner Benutzer sehen können, ist das wirklich schlecht", sagte Palant in einem E-Mail-Interview.
Ein Schutz, den Jumpshot verwendet, um zu verhindern, dass Clients die tatsächlichen Identitäten von Avast-Benutzern ermitteln, ist ein patentierter Prozess, mit dem PII-Informationen wie Namen und E-Mail-Adressen in den gesammelten URLs nicht angezeigt werden.
Aber auch mit dem PII-Stripping, sagt Palant, setzt die Datenerfassung Avast-Benutzer unnötig Datenschutzrisiken aus.
"Es ist schwer vorstellbar, dass ein Anonymisierungsalgorithmus alle relevanten Daten entfernen kann.
Es gibt einfach zu viele Websites, und jede von ihnen macht etwas anderes", sagte er.
Palant weist beispielsweise darauf hin, wie durch den Besuch der gesammelten URL-Links für einen Benutzer konsistent angezeigt werden kann, welche Tweets oder Videos die Person enthält kommentiert ein und legen so die wahre Identität des Benutzers offen.
"Es ist fast unmöglich, Daten zu identifizieren", sagte Eric Goldman, Co-Direktor des High Tech Law Institute an der Santa Clara University, der auch Probleme mit einem Antiviren-Unternehmen hatte, das Benutzerdaten monetarisierte.
"Das klingt einfach nach einer schrecklichen Geschäftspraxis.
Sie sollen die Verbraucher vor Bedrohungen schützen, anstatt sie Bedrohungen auszusetzen."
"Möchten Sie einige Daten mit uns teilen?"
Wir haben Avast mehr als ein Dutzend Fragen zum Umfang der gesammelten Daten gestellt, mit denen sie geteilt werden, sowie Informationen zum Omnicom-Vertrag.
Es lehnte es ab, die meisten unserer Fragen zu beantworten oder einen Kontakt für Jumpshot bereitzustellen, der nicht auf unsere Anrufe oder E-Mails antwortete.
Avast gab jedoch an, die Erfassung von Benutzerdaten für Marketingzwecke über die Browsererweiterungen Avast und AVG eingestellt zu haben.
Empfohlen von unseren Redakteuren
"Wir haben die Verwendung von Daten aus den Browsererweiterungen für andere Zwecke als die Kernsicherheits-Engine, einschließlich der Freigabe für Jumpshot, vollständig eingestellt", heißt es in einer Erklärung des Unternehmens.
Trotzdem kann die Jumpshot-Abteilung von Avast Ihre Browserverläufe über die wichtigsten Antiviren-Anwendungen von Avast auf Desktop- und Mobilgeräten erfassen.
Dazu gehört AVG Antivirus, das auch Avast besitzt.
Die Datenerfassung erfolgt über die Web Shield-Komponente der Software, die auch URLs in Ihrem Browser scannt, um böswillige oder betrügerische Websites zu erkennen.
Aus diesem Grund kann Daxdi Avast Free Antivirus nicht mehr als Wahl der Redaktion in der Kategorie des kostenlosen Virenschutzes empfehlen.
Ob das Unternehmen Ihre URLs wirklich benötigt, um Sie zu schützen, steht zur Debatte.
Laut Avast bietet das direkte Aufnehmen der Informationen und das sofortige Scannen der Cloud-Server von Avast den Benutzern "zusätzliche Sicherheitsebenen".
Aber...
