Spoločnosť už začala prehodnocovať ochranu súkromia svojich zákazníkov.
Spoločnosť Avast využíva svoj antivírusový program na zber informácií o tom, čo jeho používatelia vyhľadávajú na internete a následne to predáva svojim zákazníkom. Poukazuje na to spoločné vyšetrovanie portálov Motherboard a PCMag, ktorým sa podarilo získať uniknuté údaje, zmluvy a iné firemné dokumenty.
Avast preposiela nazbierané dáta dcérskej spoločnosti Jumpshot, ktorá ich balí do rôznych produktov. Tie následne predáva spoločnostiam ako Google, Microsoft, McKinsey, Sephora či napríklad Pepsi. Finálny produkt obsahuje tzv. ,,All Click Feed“, ktorý zákazníkom umožňuje spätne dohľadať informácie o všetkých kliknutiach používateľa na konkrétnej doméne ako Amazon.com, Walmart.com či Ebay.com.
Súkromie na úkor peňazí
Antivírusová spoločnosť s českými koreňmi začala minulý týždeň od používateľov bezplatnej verzie programu požadovať, aby sa pomocou vyskakovacieho okna prihlásili na zber údajov. Po odsúhlasení sa zariadenie stalo súčasťou panela Jumpshot a začalo preposielať informácie o internetovej aktivite.
Avast má viac ako 435 miliónov aktívnych používateľov mesačne a spoločnosť Jumpshot priznáva, že disponuje údajmi zo 100 miliónov zariadení. Väčšina z ľudí, ktorých oslovil Motherboard však uviedla, že o predaji týchto údajov nič nevedela.
Hoci dáta, ktoré PCMag a Motherboard získali neobsahujú osobné údaje ako meno používateľa, v kombinácii s inými údajmi by ich však podľa expertov nebolo ťažké deanonymizovať.
Pre mnohé firmy by spárovanie údajov od Avastu so svojim konkrétnym zákazníkom nemal byť problém. Dáta totiž ukazujú čas navštívenej webstránky na milisekundu presne. Obchody ako Amazon tak poľahky môžu spárovať tento čas s konkrétnym kliknutím a následne sledovať svojho klienta podľa údajov z Jumshoptu, či neprechádza ku konkurencii.
Ide pritom o dáta, ktoré poodhalia aj súkromie týchto užívateľov. Sú medzi nimi totiž napríklad vyhľadávania na Google, informácie o návštevníkoch Linkedln profilu konkrétnej spoločnosti či GPS súradnice. Pomocou údajov z pornografických stránok ako YouPorn alebo PornHub je tiež možné zistiť, čo užívateľ na stránke hľadal a ktoré konkrétne video sledoval.
Miliónový biznis
Jumpshot na svojich webových stránkach uvádza aj niektoré prípadové štúdie, ako sa dajú údaje využiť. Magazín Condé Nast napríklad pomocou údajov zisťoval, či reklamy mediálnej spoločnosti viedli k ďalším nákupom na Amazone alebo niekde inde. Medzi ďalších klientov patria napríklad aj spoločnosti Expedia, Intuit či IBM, ktorej služby využíva aj najväčší maloobchodný predajca v USA Home Depot.
,,Niekedy používame informácie od poskytovateľov z tretích strán, aby sme zlepšili naše podnikanie, produkty a služby. Požadujeme však, aby mali títo poskytovatelia príslušné práva na zdieľanie týchto informácii. V tomto prípade dostávame anonymizované údaje, ktoré nemožno použiť na identifikáciu jednotlivých zákazníkov,“ uviedol hovorca obchodnej spoločnosti Home Depot.
Cena za poskytnuté údaje sa pritom pohybuje v miliónoch dolároch. Napríklad, marketingová spoločnosť Omnicome Media Group zaplatila Jumpshotu približne 2,1 milióna dolárov za prístup k údajom z roku 2019. Za tento a budúci rok by mala zaplatiť po 2,23 milióna dolárov.
Jumpshot dal Omnicome na oplátku prístup ku všetkým kliknutiam zo 14 rôznych krajín, vrátane USA, Veľkej Británie, Kanady, Austrálie a Nového Zélandu. Medzi týmito informáciami sa nachádzali aj údaje o pohlaví a približnom veku používateľa, ktoré sa dali odvodiť na základe jeho správania sa pri prehliadaní, alebo celý URL reťazec s odstránenými osobnými identifikačnými údajmi.
Avast prehodnotí obchodovanie s údajmi
Spoločnosť Avast nijako nepoprela, že by obchodovala s údajmi, ktoré získala špehovaním svojich klientov.
,,Používatelia mali vždy možnosť odhlásiť sa zo zdieľania údajov s programom Jumpshot. Od Júla 2019 sme začali s implementáciou explicitne voliteľnej možnosti pre všetky nové stiahnutia nášho antivírusu a rovnako dnes vyzývame našich súčasných používateľov bezplatnej verzie, aby sa tak vyslovene urobili. Proces bude ukončený vo februári 2020,“ uviedla firma Avast vo svojom vyhlásení s tým, že dodržiavajú kalifornský zákon o ochrane spotrebiteľa (CCPA) a všeobecné nariadenie o ochrane osobných údajov (GDPR).
Po medializácii prípadu sa však spoločnosť v stredu rozhodla, že nakoniec prehodnotí všetky dostupné možnosti na ochranu súkromia jej analytickej služby v Jumpshot.
Nie je to novinka
Na to, že Avast špehuje svojich zákazníkov a potom informácie predáva ďalej upozornil už v októbri minulého roka zakladateľ AdBlocku Plus WladimirPalant.
Vtedy však išlo o doplnky do prehliadača od firiem Avast a AVG. Spoločnosť opäť zber údajov nepoprela, ale trvala na tom, že informácie sa nedajú spätne vystopovať ku konkrétnemu používateľovi.
(RS + VK)