Avasts antivirusapp säljer "varje sökning", "varje klick", "varje köp på varje webbplats du besöker." Köpare inkluderar Home Depot, Google, Microsoft, Pepsi och McKinsey.
(publicerad med förkortningar)
Används av hundratals miljoner människor runt om i världen, säljer ett antivirusprogram personlig information om webbsökning till många av de största företagen i världen. Detta bevisas av en gemensam utredning av portalen Motherboard och PCMag. Materialet är baserat på "läckta" företagsdokument som bevisar att företaget som äger antiviruset säljer mycket konfidentiell information.
Dokumenten, som ägs av Jumpshot, ett dotterbolag till antivirusjätten Avast, kastar nytt ljus på den dolda historien att sälja personliga internetuppgifter. Avast antivirus installerat på en persons dator samlar in data och Jumpshot "paketerar" det till olika produkter, som sedan säljs till många av de största företagen i världen. På inköpslistan finns jättar som Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit och många fler. Vissa kunder har betalat miljontals dollar för produkter som inkluderar en så kallad "all-click-kanal", som kan spåra användarnas beteende, klick och webbplatsnavigering med hög noggrannhet.
Avast påstår sig ha över 435 miljoner aktiva användare varje månad och Jumpshot samlar in data från 100 miljoner enheter. Avast samlar in användardata och skickar sedan in dem till Jumpshot, men flera Avast-användare sa till Motherboard att de inte var medvetna om att deras data delades med tredje part.
Enligt Motherboard och PCMag inkluderade denna personliga information Google-sökningar, Google Maps-platser och GPS-koordinater, LinkedIn-sidor, privata YouTube-videor och information om besökta porrsidor. Med hjälp av den samlade datapoolen är det möjligt att avgöra när en anonym användare har besökt YouPorn och PornHub, och i vissa fall till och med sökningar och specifika videor som tittats.
Även om databaserna inte innehåller personlig information som användarnamn, innehåller de fortfarande mycket specifik information, och experter säger att det inte är så svårt att deanonymisera en viss person som använder dem.
I ett pressmeddelande som utfärdades i juli hävdar Jumpshot att vara "det enda företaget som avslöjar ett antal hemligheter" och har åtagit sig att "ge marknadsförare en djupare förståelse för kundens onlineaktivitet." "De är mycket detaljerade och av stort intresse för köpare eftersom de är på enhetens nivå med en tidsstämpel," kommenterade Motherboards källa, med hänvisning till informationen och känsligheten för de data som säljs.
Kampanjvideo:
Fram till nyligen samlade Avast trafikdata från kunder som installerade en webbläsar-plugin som utvecklats av företaget för att varna användare på misstänkta webbplatser. Säkerhetsforskare och skapare av AdBlock Plus, Vladimir Palant, publicerade ett blogginlägg i oktober och hävdade att Avast samlar in användardata med plugin-programmet. Strax därefter tog webbläsartillverkarna Mozilla, Opera och Google bort Avast-tillägg från sina respektive butiker. Avast förklarade tidigare denna datainsamling och delning i en blogg och ett forum-inlägg 2015. Sedan dess har Avast enligt uppgift slutat skicka surfningsdata som samlats in av dessa tillägg.
Men insamlingen av data fortsätter, källan och dokumenten indikerar. Istället för att samla in information med mjukvara ansluten till webbläsaren gör Avast det med antiviruset själv. Förra veckan, månader efter att det upptäcktes med sina webbläsarförlängningar för att skicka data till Jumpshot, började Avast be sina antivirusklienter att tillåta datainsamling. "Om användarna håller med, börjar enheten spela in all kundens online-aktivitet", säger den interna produkthandboken.
Moderkort och PCMag kontaktade mer än två dussin företag som nämns i interna ansökningar. Få svarade på frågor om vad de gör med data baserat på surfhistoriken för Avast-användare.
”Vi använder ibland information från tredjepartsleverantörer för att förbättra våra affärer, produkter och tjänster. Vi kräver att dessa leverantörer har rätt rätt att tillhandahålla denna information till oss. I det här fallet får vi anonyma publikdata som inte kan användas för att identifiera enskilda kunder, säger en talesman för Home Depot via e-post.
Microsoft vägrade att kommentera detaljerna för att förvärva produkter från Jumpshot, men sa att det inte hade en pågående relation med företaget. En talesman för Yelp skrev i ett e-postmeddelande:”2018, som en del av en antitrustbegäran om information, uppmanades Yelp-teamet att bedöma Googles påverkan på den lokala marknaden för sökmotorer. Jumpshot användes i taget."
Southwest Airlines sa att det har diskuterat ett partnerskap med Jumpshot men har inte nått ett avtal med företaget. IBM sa att det inte fungerade med Jumpshot, och Altria sa att det inte fungerade med Jumpshot nu, även om det inte visade om det gjorde det förut. Sephora uppgav att detta inte fungerar med Jumpshot. Google svarade inte på en begäran om kommentar.
På sin webbplats och i pressmeddelanden namnger Jumpshot Pepsi samt konsulterande jättar Bain & Company och McKinsey som klienter.
Förutom Expedia, Intuit och Loreal inkluderar andra företag som ännu inte presenterats i Jumpshots offentliga tillkännagivanden kaffeföretaget Keurig, YouTube vidIQ och Hitwise, ett konsumentforskningsföretag. Inget av dessa företag svarade på en begäran om kommentar.
På sin webbplats listar Jumpshot några av de tidigare användningsfallen för sina data. Till exempel använde Condé Nast Jumpshot-produkter för att se om ett mediebolags annons ledde till köp på Amazon och på andra håll. Condé Nast svarade inte på en begäran om kommentar.
Jumpshot säljer olika produkter baserat på data som samlats in av Avast antivirusprogram installerad på användarens datorer. Kunder i den institutionella finanssektorn köper ofta kanaler från 10 000 domäner som Avast-användare besöker för att försöka upptäcka trender, säger produktguiden.
En annan Jumpshot-produkt är den så kallade "All Click Feed". Detta gör att kunden kan köpa information om alla klick som Jumpshot har sett på en specifik domän som Amazon.com, Walmart.com, Target.com, BestBuy.com eller Ebay.com.
I en tweet som publicerades förra månaden med syftet att locka till sig nya kunder konstaterade Jumpshot att han samlar “Varje sökning. Varje klick. Information om varje köp på varje webbplats."
Jumpshot-data kan visa att någon med Avast installerat på sin dator googlar en produkt, klicka på en länk som ledde till Amazon och sedan eventuellt lägga till varan i sin kundvagn på en annan webbplats innan äntligen, köp en produkt.
Ett av företagen som förvärvade All Clicks är det New York-baserade marknadsföringsföretaget Omnicom Media Group. Enligt kontraktet betalade Omnicom Jumpshot 2 755 000 dollar för datatillgång 2019. Affären inkluderade också en annan produkt som heter Insight Feed för 20 olika domäner. Datakostnaderna 2020 och sedan 2021 anges till 2 225 000 dollar respektive 2 275 000 dollar, enligt dokumentet.
Jumpshot gav Omnicom tillgång till alla klickkanaler från 14 olika länder runt om i världen, inklusive USA, England, Kanada, Australien och Nya Zeeland. Produkten inkluderar också det avsedda könet för användare "baserat på surfbeteende", deras uppskattade ålder och "hela URL-strängen", men med personlig identifierbar information (PII) borttagen.
Omnicom svarade inte på flera begäranden om kommentarer.
Enligt avtal hashas varje användares "enhets-ID", vilket innebär att företaget som köper uppgifterna inte behöver kunna avgöra vem som exakt ligger bakom varje vy. Istället ska Jumpshot-produkter hjälpa företag att förstå vilka produkter som är särskilt populära eller hur effektiv en reklamkampanj är.
Men Jumpshot-data kan inte vara helt anonymt. I den interna produkthandboken anges att enhets-ID inte ändras för varje användare "såvida inte användaren avinstallerar och installerar om säkerhetsprogramvaran." Många artiklar och vetenskapliga studier har visat att det är fullt möjligt att exponera människor med så kallade anonyma uppgifter. År 2006 kunde New York Times reportrar identifiera en specifik person från en cache av förment anonyma sökdata som AOL offentliggav. Medan de verifierade uppgifterna var mer inriktade på sociala medielänkar som Jumpshot redigerade, fann en studie från 2017 vid Stanford University att det var möjligt att identifiera personer från anonym data online.
Moderkort och PCMag ställde Avast ett antal detaljerade frågor om hur det skyddar användarnas anonymitet och begärde också detaljer om några av företagets kontrakt. Avast besvarade inte de flesta frågorna, men gav ut ett uttalande: "Genom vår strategi säkerställer vi att Jumpshot inte får personlig information, inklusive namn, e-postadress eller kontaktinformation för personer som använder vår populära gratis antivirusprogram."
”Användare har alltid haft möjlighet att välja bort att kommunicera med Jumpshot. Från och med juli 2019 har vi redan börjat implementera uttryckliga val för alla nya nedladdningar av vårt antivirus, och vi begär nu också medgivande från våra befintliga gratisanvändare - en process som kommer att slutföras i februari 2020,”sade en talesman för Avast och tilllade att företaget följer Kaliforniens konsumentskyddslag (CCPA) och Allmänna europeiska dataskyddsförordningen (GDPR) för hela sin globala användarbas.
"Vi har en lång historia av att skydda användarenheter och data från skadlig programvara, och vi förstår och tar på allvar ansvaret för att balansera användarnas integritet med den nödvändiga användningen av data", säger uttalandet.
När en PCMag-journalist först installerade Avasts antivirusprodukt denna månad frågade programmet om han ville delta i datainsamlingen.
”Om du vill, kommer vi att tillhandahålla vårt dotterbolag Jumpshot Inc. ett dedikerat och avidentifierat datasätt som härrör från din surfhistorik så att Jumpshot kan analysera marknader och affärstrender och samla in andra värdefulla insikter,”säger meddelandet. Pop-up-enheten beskrev dock inte exakt hur Jumpshot använder dessa data.
”Informationen är helt avidentifierad och aggregerad, den kan inte användas för personlig identifiering. Jumpshot kan dela sammanlagd information med sina kunder, tilllade en popup.
Uppdatering: Efter släppandet av denna utredning meddelade Avast att den avbryter datainsamlingen med Jumpshot.
Av Joseph Cox
