Dit antivirusprogram skal beskytte dig, men hvad nu hvis det overleverer din browserhistorik til et større marketingfirma?
Slap af.
Det er, hvad Avast fortalte offentligheden, efter at dens browserudvidelser blev fundet, der høste brugernes data til levering til marketingfolk.
Sidste måned forsøgte antivirusfirmaet at retfærdiggøre fremgangsmåden ved at hævde, at de indsamlede webhistorikker blev frataget brugernes personlige oplysninger, inden de blev afleveret.
"Dataene er fuldstændigt de-identificeret og aggregeret og kan ikke bruges til personligt at identificere eller målrette mod dig," sagde Avast til brugere, der vælger datadeling.
Til gengæld bevares dit privatliv, Avast bliver betalt, og online marketingfolk får en række "samlede" forbrugerdata for at hjælpe dem med at sælge flere produkter.
Der er kun et problem: Hvad der skal være et kæmpe stykke anonymiserede webhistorikdata, kan faktisk plukkes fra hinanden og linkes tilbage til individuelle Avast-brugere, ifølge en fælles undersøgelse foretaget af Daxdi og bundkort.
Hvordan 'de-identifikation' kan mislykkes
Avast-divisionen, der har til opgave at sælge dataene, er Jumpshot, et datterselskab, der tilbyder adgang til brugertrafik fra 100 millioner enheder, inklusive pc'er og telefoner.
Til gengæld kan klienter - fra store mærker til e-handelsudbydere - lære, hvad forbrugerne køber, og hvor, hvad enten det er fra en Google- eller Amazon-søgning, en annonce fra en nyhedsartikel eller et indlæg på Instagram.
De indsamlede data er så detaljerede, at klienter kan se de enkelte klik, som brugerne foretager på deres browsersessioner, inklusive tiden ned til millisekunden.
Og mens de indsamlede data aldrig er knyttet til en persons navn, e-mail eller IP-adresse, tildeles hver brugerhistorik alligevel til en identifikator kaldet enheds-id'et, som vedvarer, medmindre brugeren afinstallerer Avast-antivirusproduktet.
For eksempel kan et enkelt klik teoretisk se sådan ud:
Enheds-id: abc123x Dato: 2019/12/01 Hour Minute Second: 12:03:05 Domæne: Amazon.com Produkt: Apple iPad Pro 10.5 - 2017-model - 256 GB, rosaguld Opførsel: Tilføj til kurv
Ved første øjekast ser kliket uskadeligt ud.
Du kan ikke fastgøre det til en nøjagtig bruger.
Det vil sige, medmindre du er Amazon.com, som let kunne finde ud af, hvilken Amazon-bruger, der købte en iPad Pro kl.
12:03:05 den 1.
december 2019.
Pludselig er enheds-id: 123abcx en kendt bruger.
Og hvad ellers Jumpshot har på 123abcx's aktivitet - fra andre e-handel-indkøb til Google-søgninger - er ikke længere anonym.
Daxdi og bundkort lærte om detaljerne omkring dataindsamlingen fra en kilde, der er fortrolig med Jumpshots produkter.
Og fortrolighedseksperter, vi talte med, var enige om, at oplysningerne om tidsstempel, vedvarende enheds-id'er og de indsamlede webadresser kunne analyseres for at afsløre en persons identitet.
"De fleste trusler fra de-anonymisering - hvor du identificerer mennesker - kommer fra evnen til at flette informationen med andre data," sagde Gunes Acar, en privatlivsforsker, der studerer online sporing.
Han påpeger, at store virksomheder som Amazon, Google og brandede detailhandlere og marketingfirmaer kan samle hele aktivitetslogfiler på deres brugere.
Med Jumpshots data har virksomhederne en anden måde at spore brugernes digitale fodspor over internettet.
"Måske er selve (Jumpshot) -dataene ikke identificerende mennesker," sagde Acar.
"Måske er det bare en liste over hashede bruger-id'er og nogle webadresser.
Men det kan altid kombineres med andre data fra andre marketingfolk, andre annoncører, der grundlæggende kan nå frem til den rigtige identitet."
Feedet "Alle klik"
Ifølge interne dokumenter tilbyder Jumpshot en række produkter, der serverer indsamlede browserdata på forskellige måder.
For eksempel fokuserer et produkt på søgninger, som folk foretager, inklusive anvendte søgeord og resultater, der blev klikket på.
Vi så et øjebliksbillede af de indsamlede data og så logfiler med forespørgsler om verdslige, daglige emner.
Men der var også følsomme søgninger efter porno - herunder mindreårige sex - oplysninger, som ingen ville have bundet til dem.
Andre Jumpshot-produkter er designet til at spore, hvilke videoer brugerne ser på YouTube, Facebook og Instagram.
En anden drejer sig om at analysere et udvalgt e-handelsdomæne for at hjælpe marketingfolk med at forstå, hvordan brugerne når det.
Men med hensyn til en bestemt klient ser Jumpshot ud til at have tilbudt adgang til alt.
I december 2018 underskrev Omnicom Media Group, en større marketingudbyder, en kontrakt om at modtage det, der hedder "All Clicks Feed", eller hvert klik, Jumpshot indsamler fra Avast-brugere.
Normalt sælges All Clicks Feed uden enheds-id'er "for at beskytte mod triangulering af PII (personligt identificerbar information)", siger Jumpshots produkthåndbog.
Men når det kommer til Omnicom, leverer Jumpshot produktet med enheds-id'er knyttet til hvert klik i henhold til kontrakten.
Derudover opfordrer kontrakten til Jumpshot at levere URL-strengen til hvert besøgte sted, den henvisende URL, tidsstemplerne ned til millisekunden sammen med den mistænkte alder og køn for brugeren, som kan udledes baseret på hvilke websteder personen er besøger.
Det er uklart, hvorfor Omnicom vil have dataene.
Virksomheden reagerede ikke på vores spørgsmål.
Men kontrakten rejser det foruroligende udsyn, Omnicom kan opklare Jumpshot's data for at identificere individuelle brugere.
Selvom Omnicom ikke selv ejer en større internetplatform, sendes Jumpshot-dataene til et datterselskab kaldet Annalect, der tilbyder teknologiløsninger for at hjælpe virksomheder med at flette deres egen kundeinformation med tredjepartsdata.
Den treårige kontrakt trådte i kraft i januar 2019 og giver Omnicom adgang til de daglige klikstrømdata på 14 markeder, inklusive USA, Indien og Storbritannien.
Til gengæld får Jumpshot $ 6,5 millioner.
Hvem ellers har muligvis adgang til Jumpshot's data er uklart.
Virksomhedens websted siger, at det har arbejdet med andre mærker, herunder IBM, Microsoft og Google.
Microsoft sagde imidlertid, at det ikke har noget aktuelt forhold til Jumpshot.
IBM har derimod "ingen rekord" for at være klient for hverken Avast eller Jumpshot.
Google svarede ikke på en anmodning om kommentar.
Andre kunder, der er nævnt i Jumpshots markedsføring, dækker forbrugerproduktvirksomheder Unilever, Nestle Purina og Kimberly-Clark ud over TurboTax-udbyderen Intuit.
Også navngivet er markedsundersøgelser og konsulentfirmaer McKinsey & Company og GfK, som nægtede at kommentere deres partnerskab med Jumpshot.
Forsøg på at bekræfte andre kundeforhold blev stort set mødt uden svar.
Men dokumenter, vi har fået, viser Jumpshot-dataene muligvis til venturekapitalfirmaer.
'Det er næsten umuligt at de-identificere data'
Wladimir Palant er sikkerhedsforsker, der oprindeligt udløste sidste måneds offentlige kontrol af Avasts dataindsamlingspolitikker.
I oktober bemærkede han noget underligt med antivirusfirmaets browserudvidelser: De loggede hvert besøgte websted sammen med et bruger-id og sendte oplysningerne til Avast.
Resultaterne fik ham til at kalde udvidelserne som spyware.
Som svar fjernede Google og Mozilla dem midlertidigt, indtil Avast implementerede ny beskyttelse af privatlivets fred.
Alligevel har Palant forsøgt at forstå, hvad Avast mener, når det siger, at det "de-identificerer" og "samler" brugernes browserhistorik, når antivirusfirmaet har afstået fra at offentliggøre den nøjagtige tekniske proces.
"Aggregation ville normalt betyde, at data fra flere brugere kombineres.
Hvis Jumpshot-klienter stadig kan se data om individuelle brugere, er det virkelig dårligt," sagde Palant i et e-mail-interview.
En beskyttelsesforanstaltning, som Jumpshot bruger til at forhindre klienter i at identificere Avast-brugeres reelle identiteter, er en patenteret proces designet til at fjerne PII-oplysninger, såsom navne og e-mail-adresser, fra at blive vist i de indsamlede URL'er.
Men selv med PII-stripping siger Palant, at dataindsamlingen stadig unødigt udsætter Avast-brugere for privatlivsrisici.
"Det er svært at forestille sig, at en anonymiseringsalgoritme vil være i stand til at fjerne alle relevante data.
Der er simpelthen for mange hjemmesider derude, og hver af dem gør noget andet," sagde han.
For eksempel påpeger Palant, hvordan besøg på de indsamlede URL-links for en bruger konsekvent kunne afsløre, hvilke tweets eller videoer personen var kommenterede tændes og dermed afsløre brugerens reelle identitet.
"Det er næsten umuligt at de-identificere data," sagde Eric Goldman, meddirektør for High Tech Law Institute ved Santa Clara University, der også tog problemer med et antivirusfirma, der tjente penge på brugernes data.
"Det lyder bare som en frygtelig forretningsskik.
De skal beskytte forbrugerne mod trusler snarere end at udsætte dem for trusler."
'Har du tænkt dig at dele nogle data med os?'
Vi stillede Avast mere end et dusin spørgsmål angående omfanget af de indsamlede data, med hvem de deles med, sammen med oplysninger om Omnicom-kontrakten.
Det nægtede at besvare de fleste af vores spørgsmål eller give en kontakt til Jumpshot, som ikke reagerede på vores opkald eller e-mails.
Avast sagde imidlertid, at det stoppede med at indsamle brugerdata til marketingformål via Avast og AVG-browserudvidelserne.
Anbefalet af vores redaktører
”Vi afbrød fuldstændig brugen af ??data fra browserudvidelserne til ethvert andet formål end kernesikkerhedsmotoren, herunder deling med Jumpshot,” sagde virksomheden i en erklæring.
Ikke desto mindre kan Avasts Jumpshot-division stadig indsamle din browserhistorik gennem Avasts vigtigste antivirusprogrammer på desktop og mobil.
Dette inkluderer AVG-antivirus, som Avast også ejer.
Datahøstningen sker via softwarens Web Shield-komponent, som også scanner URL'er i din browser for at opdage ondsindede eller falske websteder.
Af denne grund kan Daxdi ikke længere anbefale Avast Free Antivirus som et redaktørvalg i kategorien gratis antivirusbeskyttelse.
Om virksomheden virkelig har brug for dine webadresser for at beskytte dig, kan diskuteres.
Avast siger, at det at tage oplysningerne direkte og lade Avasts cloud-servere straks scanne dem giver brugerne "yderligere lag af sikkerhed." Men...
