Ditt antivirusprogram bör skydda dig, men tänk om det överlämnar din webbläsarhistorik till ett stort marknadsföringsföretag?
koppla av.
Det var vad Avast berättade för allmänheten efter att dess webbläsartillägg hittades och skördade användarnas data för att tillhandahålla marknadsförare.
Förra månaden försökte antivirusföretaget att motivera praxis genom att hävda att de samlade webbhistorierna hade tagits bort från användarnas personliga uppgifter innan de lämnades ut.
"Uppgifterna är helt avidentifierade och aggregerade och kan inte användas för att personligen identifiera eller rikta in dig", sa Avast till användare som väljer att dela data.
I gengäld bevaras din integritet, Avast får betalt och marknadsförare på nätet får en massa "samlade" konsumentuppgifter för att hjälpa dem att sälja fler produkter.
Det finns bara ett problem: Vad som borde vara en gigantisk bit av anonymiserad webbhistorikdata kan faktiskt plockas isär och länkas tillbaka till enskilda Avast-användare, enligt en gemensam utredning av Daxdi och moderkort.
Hur 'avidentifiering' kan misslyckas
Avast-avdelningen som ansvarar för att sälja data är Jumpshot, ett dotterbolag som erbjuder tillgång till användartrafik från 100 miljoner enheter, inklusive datorer och telefoner.
I gengäld kan kunder - från stora varumärken till e-handelsleverantörer - lära sig vad konsumenterna köper och var, vare sig det är från en sökning på Google eller Amazon, en annons från en nyhetsartikel eller ett inlägg på Instagram.
Den insamlade informationen är så detaljerad att klienterna kan se de enskilda klick som användarna gör på sina webbsessioner, inklusive tiden fram till millisekunden.
Och medan den insamlade informationen aldrig är länkad till en persons namn, e-postadress eller IP-adress, tilldelas ändå varje användarhistorik en identifierare som heter enhets-ID, vilket kommer att bestå om inte användaren avinstallerar Avast-antivirusprodukten.
Till exempel kan ett enda klick teoretiskt sett se ut så här:
Enhets-ID: abc123x Datum: 2019/12/01 Hour Minute Second: 12:03:05 Domän: Amazon.com Produkt: Apple iPad Pro 10.5 - 2017-modell - 256 GB, rosaguld Beteende: Lägg till i kundvagn
Vid första anblicken ser klicket ofarligt ut.
Du kan inte fästa den till en exakt användare.
Det vill säga om du inte är Amazon.com, som lätt kunde räkna ut vilken Amazon-användare som köpte en iPad Pro kl 12:03:05 den 1 december 2019.
Plötsligt är enhets-ID: 123abcx en känd användare.
Och allt annat Jumpshot har på 123abcxs aktivitet - från andra e-handelsköp till Google-sökningar - är inte längre anonym.
Daxdi och moderkort lärde sig om detaljerna kring datainsamlingen från en källa som är bekant med Jumpshots produkter.
Och sekretessexperter vi pratade med gick med på att tidsstämpelinformationen, bestående enhets-ID och de samlade webbadresserna kunde analyseras för att avslöja någons identitet.
"De flesta hoten från de-anonymisering - där du identifierar människor - kommer från förmågan att slå samman informationen med annan data", säger Gunes Acar, en integritetsforskare som studerar spårning online.
Han påpekar att stora företag som Amazon, Google och märkeshandlare och marknadsföringsföretag kan samla hela aktivitetsloggar på sina användare.
Med Jumpshots data har företagen ett annat sätt att spåra användarnas digitala fotavtryck över internet.
"Kanske (Jumpshot) -data identifierar inte människor," sa Acar.
"Kanske är det bara en lista över hashade användar-ID och vissa webbadresser.
Men det kan alltid kombineras med annan data från andra marknadsförare, andra annonsörer, som i princip kan komma fram till den verkliga identiteten."
"All Clicks Feed"
Enligt interna dokument erbjuder Jumpshot en mängd olika produkter som serverar samlad webbläsardata på olika sätt.
En produkt fokuserar till exempel på sökningar som människor gör, inklusive använda nyckelord och resultat som man klickar på.
Vi tittade på en ögonblicksbild av den samlade informationen och såg loggar med frågor om vardagliga, vardagliga ämnen.
Men det fanns också känsliga sökningar efter porr - inklusive minderåriga sex - information som ingen skulle vilja knyta till dem.
Andra Jumpshot-produkter är utformade för att spåra vilka videor användarna tittar på på YouTube, Facebook och Instagram.
En annan kretsar kring att analysera en utvald e-handelsdomän för att hjälpa marknadsförare att förstå hur användare når den.
Men när det gäller en viss klient verkar Jumpshot ha erbjudit tillgång till allt.
I december 2018 undertecknade Omnicom Media Group, en stor marknadsföringsleverantör, ett kontrakt för att ta emot det som kallas "All Clicks Feed", eller varje klick som Jumpshot samlar in från Avast-användare.
Normalt säljs All Clicks Feed utan enhets-ID "för att skydda mot triangulering av PII (personligt identifierbar information)", säger Jumpshots produkthandbok.
Men när det gäller Omnicom levererar Jumpshot produkten med enhets-ID: n som är kopplade till varje klick, enligt kontraktet.
Dessutom kräver kontraktet Jumpshot att leverera URL-strängen till varje webbplats som besöks, den hänvisande URL: n, tidsstämplarna ner till millisekunden, tillsammans med den misstänkta åldern och kön hos användaren, vilket kan dras baserat på vilka webbplatser personen är besöker.
Det är oklart varför Omnicom vill ha uppgifterna.
Företaget svarade inte på våra frågor.
Men kontraktet väcker den oroande utsikten Omnicom kan riva upp Jumpshot-data för att identifiera enskilda användare.
Även om Omnicom själv inte äger en stor internetplattform skickas Jumpshot-data till ett dotterbolag som heter Annalect, som erbjuder tekniska lösningar för att hjälpa företag att slå samman sin egen kundinformation med tredjepartsdata.
Det treåriga avtalet trädde i kraft i januari 2019 och ger Omnicom tillgång till de dagliga klickströmdata på 14 marknader, inklusive USA, Indien och Storbritannien.
I gengäld får Jumpshot 6,5 miljoner dollar.
Vem som annars kan ha tillgång till Jumpshot-data är fortfarande oklart.
Företagets webbplats säger att det har fungerat med andra varumärken, inklusive IBM, Microsoft och Google.
Microsoft sa dock att det inte har någon aktuell relation med Jumpshot.
IBM, å andra sidan, har "ingen rekord" för att vara kund till Avast eller Jumpshot.
Google svarade inte på en begäran om kommentarer.
Andra kunder som nämns i Jumpshots marknadsföring täcker konsumentproduktföretagen Unilever, Nestle Purina och Kimberly-Clark, förutom TurboTax-leverantören Intuit.
Också namngivna är marknadsundersökningar och konsultföretag McKinsey & Company och GfK, som avböjde att kommentera sitt partnerskap med Jumpshot.
Försök att bekräfta andra kundrelationer möttes till stor del utan svar.
Men dokument vi erhållit visar data om Jumpshot möjligen till riskkapitalföretag.
'Det är nästan omöjligt att avidentifiera data'
Wladimir Palant är säkerhetsforskaren som ursprungligen utlöste förra månadens offentliga granskning av Avasts datainsamlingspolicy.
I oktober märkte han något konstigt med antivirusföretagets webbläsartillägg: De loggade varje webbplats som besökts tillsammans med ett användar-ID och skickade informationen till Avast.
Resultaten fick honom att ropa ut tilläggen som spionprogram.
Som svar tog Google och Mozilla bort dem tillfälligt tills Avast implementerade nytt integritetsskydd.
Fortfarande har Palant försökt förstå vad Avast menar när det säger att det "avidentifierar" och "aggregerar" användarens webbläsarhistorik när antivirusföretaget har avstått från att offentliggöra den exakta tekniska processen.
"Aggregering skulle normalt innebära att data från flera användare kombineras.
Om Jumpshot-klienter fortfarande kan se data om enskilda användare är det riktigt dåligt", sa Palant i en e-postintervju.
En skyddsåtgärd som Jumpshot använder för att förhindra att klienter identifierar Avast-användarnas verkliga identiteter är en patenterad process som är utformad för att ta bort PII-information, såsom namn och e-postadresser, från att visas i de samlade webbadresserna.
Men även med PII-strippningen säger Palant att datainsamlingen fortfarande i onödan utsätter Avast-användare för integritetsrisker.
"Det är svårt att föreställa sig att någon anonymiseringsalgoritm kommer att kunna ta bort all relevant information.
Det finns helt enkelt för många webbplatser där ute, och var och en av dem gör något annorlunda", sa han.
Till exempel påpekar Palant hur besök av de samlade URL-länkarna för en användare konsekvent kan avslöja vilka tweets eller videoklipp personen kommenterade på och därmed avslöja användarens verkliga identitet.
"Det är nästan omöjligt att avidentifiera data", säger Eric Goldman, meddirektör för High Tech Law Institute vid Santa Clara University, som också tog ett problem med ett antivirusföretag som tjänar pengar på användarnas data.
"Det låter bara som en hemsk affärspraxis.
De ska skydda konsumenterna från hot snarare än att utsätta dem för hot."
"Tänker du dela data med oss?"
Vi ställde Avast mer än ett dussin frågor angående omfattningen av den insamlade informationen, vem den delas med, tillsammans med information om Omnicom-avtalet.
Det vägrade att svara på de flesta av våra frågor eller ge en kontakt för Jumpshot, som inte svarade på våra samtal eller e-postmeddelanden.
Avast sa dock att det slutade samla in användardata för marknadsföringsändamål via webbläsartilläggen Avast och AVG.
Rekommenderas av våra redaktörer
"Vi avbröt helt praxisen att använda data från webbläsartilläggen för något annat ändamål än kärnsäkerhetsmotorn, inklusive delning med Jumpshot", säger företaget i ett uttalande.
Ändå kan Avasts Jumpshot-division fortfarande samla in din webbläsarhistorik genom Avasts huvudsakliga antivirusprogram på stationära och mobila enheter.
Detta inkluderar AVG-antivirus, som Avast också äger.
Datainhämtningen sker via programvarans Web Shield-komponent, som också kommer att skanna webbadresser i din webbläsare för att upptäcka skadliga eller bedrägliga webbplatser.
Av denna anledning kan Daxdi inte längre rekommendera Avast Free Antivirus som ett redaktörsval i kategorin gratis antivirusskydd.
Huruvida företaget verkligen behöver dina webbadresser för att skydda dig kan diskuteras.
Avast säger att ta informationen direkt och låta Avasts molnservrar genast skanna dem ger användarna "ytterligare säkerhetslager." Men...
