Teie viirusetõrje peaks teid kaitsma, aga mis siis, kui see annab teie brauseri ajaloo üle suuremale turundusettevõttele?
Lõdvestu.
Seda ütles Avast avalikkusele pärast seda, kui leiti brauserilaiendid, mis korjasid kasutajate andmeid turundajatele edastamiseks.
Eelmisel kuul üritas viirusetõrjeettevõte seda tava põhjendada väitega, et enne üleandmist võeti kogutud veebiajalugudest kasutajate isiklikud andmed.
"Andmed on täielikult tuvastatud ja koondatud ning neid ei saa kasutada teie isiklikuks tuvastamiseks ega teie sihtimiseks," ütles Avast kasutajatele, kes valisid andmete jagamise.
Vastutasuks säilib teie privaatsus, Avast saab palka ja veebiturundajad saavad hulga „koondandmeid“ tarbijate kohta, et aidata neil rohkem tooteid müüa.
Seal on ainult üks probleem: PCMagi ja emaplaadi ühise uurimise kohaselt võib anonüümsete veebiajaloo andmete tohutu hulga tegelikult eraldada ja linkida tagasi üksikute Avasti kasutajatega.
Kuidas identifitseerimise kaotamine võib ebaõnnestuda
Andmete müümise eest vastutav Avasti osakond on ettevõtte tütarettevõte Jumpshot, mis pakub juurdepääsu kasutajaliiklusele 100 miljonilt seadmelt, sealhulgas arvutid ja telefonid.
Vastutasuks saavad kliendid - alates suurtest kaubamärkidest kuni e-kaubanduse pakkujateni - teada, mida ja kuhu tarbijad ostavad, olgu see siis Google'i või Amazoni otsingust, reklaam uudiste artiklist või postitus Instagramis.
Kogutud andmed on nii üksikasjalikud, et kliendid saavad vaadata üksikuid klikke, mida kasutajad sirvimisseansside ajal teevad, sealhulgas millisekundini kulunud aeg.
Ja kuigi kogutud andmeid ei seostata kunagi inimese nime, e-posti aadressi ega IP-aadressiga, määratakse iga kasutajaajalugu siiski identifikaatorile, mida nimetatakse seadme ID-ks, mis jääb püsima, kui kasutaja ei eemalda viirusetõrjetoodet Avast.
Näiteks võib üks klõps teoreetiliselt välja näha järgmine:
Seadme ID: abc123x Kuupäev: 2019/12/01 Tund Minut Sekund: 12:03:05 Domeen: Amazon.com Toode: Apple iPad Pro 10.5 - 2017 mudel - 256GB, roosa kuld Käitumine: Lisa ostukorvi
Esmapilgul näib klõps kahjutu.
Täpsele kasutajale ei saa seda kinnitada.
See tähendab, et kui te pole Amazon.com, mis suudaks hõlpsasti välja selgitada, milline Amazoni kasutaja ostis 1.
detsembril 2019 kell 12:03:05 iPad Pro.
Järsku on seadme ID: 123abcx teadaolev kasutaja.
Ja mis iganes muu Jumpshot 123abcxi tegevuses on - alates muudest e-kaubanduse ostudest kuni Google'i otsinguteni - pole enam anonüümsed.
Daxdi ja emaplaat said andmekogumist puudutavate üksikasjade kohta teada Jumpshoti tooteid tundvast allikast.
Privaatsuspetsialistid, kellega me vestlesime, leppisid kokku ajatempliteabe, püsivate seadme ID-de ja kogutud URL-ide põhjal saab analüüsida kellegi identiteedi paljastamiseks.
"Enamik anonüümseks muutmise ohte - kus te tuvastate inimesi - tuleneb võimalusest teave teiste andmetega ühendada," ütles veebijälgimist uuriv privaatsuse uurija Gunes Acar.
Ta juhib tähelepanu sellele, et sellised suured ettevõtted nagu Amazon, Google ning kaubamärgiga jaemüüjad ja turundusettevõtted saavad oma kasutajatele koguda terveid tegevuslogisid.
Jumpshoti andmetega on ettevõtetel veel üks võimalus kasutajate digitaalse jalajälje jälgimiseks kogu Internetis.
"Võib-olla (Jumpshot) andmed iseenesest ei identifitseeri inimesi," ütles Acar.
"Võib-olla on see lihtsalt räsitud kasutaja ID-de ja mõne URL-i loetelu.
Kuid seda saab alati kombineerida teiste andmetega teistelt turundajatelt, teistelt reklaamijatelt, kes põhimõtteliselt jõuavad tegeliku identiteedini."
Kõigi klikkide voog
Sisedokumentide kohaselt pakub Jumpshot mitmesuguseid tooteid, mis pakuvad kogutud brauseri andmeid erineval viisil.
Näiteks keskendub üks toode inimeste tehtud otsingutele, sealhulgas kasutatud märksõnadele ja klõpsatud tulemustele.
Vaatasime kogutud andmete hetktõmmist ja nägime logisid, mis sisaldasid päringuid igapäevastel igapäevastel teemadel.
Kuid otsiti ka tundlikke pornograafilisi otsinguid - sealhulgas alaealiste seksi -, mida keegi ei sooviks nende külge siduda.
Muud Jumpshoti tooted on loodud jälgima, milliseid videoid kasutajad YouTube'is, Facebookis ja Instagramis vaatavad.
Teine on valitud e-kaubanduse domeeni analüüsimine, et aidata turundajatel mõista, kuidas kasutajad selleni jõuavad.
Kuid ühe konkreetse kliendi osas näib Jumpshot pakkunud juurdepääsu kõigele.
2018.
aasta detsembris sõlmis suur turunduse pakkuja Omnicom Media Group lepingu, et saada nn "kõigi klikkide voog" ehk kõik klikid, mida Jumpshot Avasti kasutajatelt kogub.
Tavaliselt müüakse kõigi klikkide voogu ilma seadme ID-deta, „et kaitsta PII (isiklikult identifitseeritav teave) triangulatsiooni eest”, seisab Jumpshoti toote käsiraamatus.
Aga mis puutub Omnicomi, siis Jumpshot tarnib toodet vastavalt lepingule igale klikile lisatud seadme ID-ga.
Lisaks nõuab leping, et Jumpshot esitaks igale külastatud saidile URL-i stringi, viite-URL-i, ajatemplid millisekundini koos kasutaja kahtlustatava vanuse ja sooga, mille võib järeldada selle põhjal, millistel saitidel inimene on külastades.
Miks Omnicom andmeid soovib, on ebaselge.
Ettevõte ei vastanud meie küsimustele.
Kuid leping tõstatab murettekitava väljavaate, Omnicom saab üksikute kasutajate tuvastamiseks Jumpshoti andmed lahti harutada.
Ehkki Omnicom ise ei oma suuremat Interneti-platvormi, saadetakse Jumpshoti andmed tütarettevõttele nimega Annalect, mis pakub tehnoloogilisi lahendusi, mis aitavad ettevõtetel oma klientide andmeid kolmandate osapoolte andmetega ühendada.
Kolmeaastane leping jõustus 2019.
aasta jaanuaris ja see annab Omnicomile juurdepääsu igapäevastele klõpsuvoogude andmetele 14 turul, sealhulgas USAs, Indias ja Suurbritannias.
Vastutasuks saab Jumpshot 6,5 miljonit dollarit.
Kellel veel võib olla juurdepääs Jumpshoti andmetele, jääb selgusetuks.
Ettevõtte veebisaidil öeldakse, et see töötab teiste kaubamärkidega, sealhulgas IBM, Microsoft ja Google.
Kuid Microsoft ütles, et tal pole Jumpshotiga praegust suhet.
Seevastu IBM-il pole "andmeid" Avasti või Jumpshoti klientide kohta.
Google ei vastanud kommenteerimistaotlusele.
Teised Jumpshoti turunduses nimetatud kliendid hõlmavad lisaks TurboTaxi pakkujale Intuit ka tarbekaupade ettevõtteid Unilever, Nestle Purina ja Kimberly-Clark.
Nimetatud on ka turu-uuringu- ja konsultatsioonifirmad McKinsey & Company ning GfK, kes keeldusid kommenteerimast oma partnerlust Jumpshotiga.
Katsed kinnitada muid kliendisuhteid saadi suures osas vastuseta.
Kuid meie saadud dokumendid näitavad, et Jumpshoti andmed lähevad tõenäoliselt riskikapitalifirmadele.
"Andmete tuvastamine on peaaegu võimatu"
Wladimir Palant on julgeoleku-uurija, kes algul kutsus Avasti andmekogumispoliitika üle eelmisel kuul avalikkuse ette.
Oktoobris märkas ta viirusetõrjeettevõtte brauserilaienditega midagi kummalist: nad logisid iga külastatud veebisaidi koos kasutajatunnusega sisse ja saatsid teavet Avastile.
Leiud ajendasid teda laiendusi nuhkvaraks nimetama.
Vastuseks eemaldasid Google ja Mozilla need ajutiselt, kuni Avast rakendas uued privaatsuskaitsed.
Sellegipoolest on Palant püüdnud mõista, mida Avast tähendab, öeldes, et see "tuvastab de-identifitseerib" ja "koondab" kasutajate brauseri ajalugu, kui viirusetõrjeettevõte on hoidunud avalikustamast täpset tehnilist protsessi.
"Liitmine tähendaks tavaliselt mitme kasutaja andmete ühendamist.
Kui Jumpshoti kliendid näevad endiselt üksikute kasutajate andmeid, on see tõesti halb," ütles Palant e-posti teel antud intervjuus.
Üks turvameetod, mille Jumpshot kasutab selleks, et takistada klientidel Avasti kasutajate tegelikke identiteete täpsustamast, on patenteeritud protsess, mille eesmärk on tõkestada isikuandmetega seotud teabe, näiteks nimede ja e-posti aadresside, ilmumine kogutud URL-idesse.
Kuid isegi isikuandmete kustutamise korral paljastab Palant, et andmekogumine seab Avasti kasutajaid endiselt asjatult privaatsusriskidele.
"Raske on ette kujutada, et mõni anonüümseks muutmise algoritm suudaks kõik asjakohased andmed eemaldada.
Veebisaite on lihtsalt liiga palju ja igaüks neist teeb midagi muud," sõnas ta.
Näiteks toob Palant välja, kuidas ühe kasutaja jaoks kogutud URL-i linkide külastamine võiks järjekindlalt paljastada, millised säutsud või videod on inimene kommenteeris sisse ja paljastada seega kasutaja tegelik identiteet.
"Andmete tuvastamine on peaaegu võimatu," ütles Santa Clara ülikooli kõrgtehnoloogiaõiguse instituudi kaasdirektor Eric Goldman, kes võttis vastu ka viirusetõrjeettevõtte, mis teenis kasutajate andmeid rahaks.
"See kõlab lihtsalt kohutava äritavana.
Nad peaksid kaitsma tarbijaid ohtude eest, selle asemel, et ohustada neid."
"Mõistate meiega jagada mõnda teavet?"
Esitasime Avastile rohkem kui tosinat küsimust kogutud andmete ulatuse kohta, kellega neid jagatakse, ning teabe Omnicomi lepingu kohta.
See keeldus enamusele meie küsimustest vastamast ega Jumpshoti kontakti pakkumisest, mis ei vastanud meie kõnedele ega meilidele.
Avast ütles siiski, et lõpetas kasutajate andmete kogumise turunduslikel eesmärkidel Avasti ja AVG brauserilaiendite kaudu.
Soovitasid meie toimetajad
"Lõpetasime täielikult brauserilaienditest saadud andmete kasutamise muuks otstarbeks kui põhiturvalisuse mootoriks, sealhulgas jagamiseks Jumpshotiga," öeldi ettevõtte avalduses.
Sellele vaatamata suudab Avasti Jumpshoti jaotis teie brauseri ajalugu koguda Avasti peamiste viirusetõrjerakenduste kaudu laua- ja mobiilseadmetes.
Nende hulka kuulub AVG viirusetõrje, mis kuulub ka Avastile.
Andmete kogumine toimub tarkvara Web Shieldi komponendi kaudu, mis kontrollib teie brauseris ka URL-e pahatahtlike või petturlike veebisaitide tuvastamiseks.
Sel põhjusel ei saa Daxdi enam tasuta viirusetõrje kategoorias soovitada Avast Free Antivirus'i toimetajate valikuna.
Selle üle, kas ettevõte vajab teie kaitsmiseks teie URL-e, on vaieldud.
Avast ütleb, et teabe otsene võtmine ja lasmine Avasti pilveserveritel neid kohe skannida pakub kasutajatele "täiendavaid turvakihte".
Aga...
