Avast Free Antivirus sbírá data o uživatelích pro jejich prodej
28.1.2020, Jan Vítek, aktualita
Server PCMag hlásí, že dle jeho informací antivirový program Avast Free Antivirus schraňuje data o uživateli, které pak společnost Avast prodává jiným společnostem. A přes její ujištění nejsou tak úplně anonymní.
Jedná se především o prodej informací o tom, jaké stránky si prohlížíme na webu i na co a kdy přesně klikáme. Avast něco takového nepopírá, ovšem tvrdí, že tato data jsou naprosto anonymní, takže nejdou spojit s konkrétním člověkem, nicméně servery PCMag a Motherboard říkají naopak to, že přiřazení dat jednotlivým lidem je možné.
Avast prodává získaná data prostřednictvím své vlastní společnosti Jumpshot, a to různým firmám, mezi něž patří či potenciálně může patřit Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit a jiné, jak se dozvídáme třeba z této tiskové zprávy. K dispozici jsou různě zpracovaná data v rámci produktů jako "All Clicks Feed", který zahrnuje velice přesné údaje o tom, jak se uživatel naviguje skrz určitou doménu, jak se chová, na co kliká a případně také GPS souřadnice i vyhledávací řetězce. Jde přitom o informace, za něž se platí i miliony dolarů. Ostatně Avast sám říká, že jeho produkty aktivně využívá každý měsíc na 435 milionů uživatelů a Jumpshot získává data ze 100 milionů zařízení.
Je ale nutné také dodat, že uživatel je při instalaci antiviru požádán o souhlas se sběrem dat, ovšem zároveň je ubezpečován, že ta jsou sbírána pro dceřinou společnost Jumpshot pouze anonymně a o jejich prodeji třetím stranám firma neinformuje. Zato Jumpshot se snaží lákat nové klienty i prostřednictvím takovýchto reklam, kde slibuje informace o "každém vyhledávání, každém kliknutí, každé koupi na všech stránkách".
Co se týče toho, jak složité je přiřadit konkrétního člověka ke konkrétnímu záznamu, o tom nám může leccos napovědět formát dat, která poskytuje zákazníkům společnost Jumpshot:
Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 – 2017 Model – 256GB, Rose Gold Behavior: Add to Cart
Jak je vidět, máme tu ID daného zařízení a také přesný čas, kdy si někdo na Amazonu přidal do košíku nový iPad. Pokud si tedy právě Amazon takový záznam od Jumpshot pořídí, může si velice snadno s využitím vlastních záznamů zjistit, kdo je oním zákazníkem. Tím si k němu přiřadí zjistěné DeviceID a najednou už žádná data pod tímto identifikátorem nejsou anonymní a rázem nabývají na hodnotě. Pravda ale je, že DeviceID nemusí být zákazníku firmy Jumpshot poskytnuto.
Avast také nedávno využíval pro sběr dat i plug-in pro prohlížeče, který měl za úkol varovat uživatele před podezřelými stránkami. Poté, co se o této věci začalo mluvit, firmy Mozilla, Opera a Google toto rozšíření z nabídky stáhly. Nyní ale firma pokračuje se sběrem dat, jen prostřednictvím jiného softwaru.
Motherboard také cituje získaný interní dokument, dle nějž se zařízení, jehož uživatel souhlasí s dobrovolným sběrem dat, stane součástí jistého Jumpshot Panel a informace o veškeré aktivitě spojené s využitím internetových prohlížečů je odesílána firmě Jumpshot. Obsahuje informace o tom, které adresy byly na daném zařízení navštíveny, v jakém pořadí a kdy.
Většina z 20 oslovených společností pak odmítla odpovědět na otázky, proč si od Jumpshot kupuje data a co s nimi dělá. Odpověděla ale třeba firma Home Depot, která mluví o zlepšování služeb, produktů a prospěšnosti pro její obchod a také o tom, že vyžaduje, aby dodavatel těchto dat je získal legálně a že daná data nemohou být využita pro identifikaci jednotlivých zákazníků.
Motherboard také získal kopii smlouvy mezi firmami Jumpshot a Omnicom, která se právě týká produktu All Clicks Feed, ovšem také stanovuje, že Omnicom v rámci těchto dat nezískává Device ID, aby nešlo tak snadno k němu přiřadit konkrétního člověka (PII jako personally identifiable information).
Nicméně dle interních dokumentů se Device ID změní jen tehdy, když uživatel provede novou instalaci softwaru, který data sbírá a pak už tři roky stará studie ze Stanford University ukázala, že je možné i tak identifikovat konkrétní lidi z anonymních dat týkajících se prohlížení webu a dokázali to i reportéři z New York Times.
Zdroj: Motherboard, PCMag