Утечка документов раскрывает секретный рынок ваших данных просмотра веб-страниц

Утечка документов раскрывает секретный рынок ваших данных просмотра веб-страниц

Дочерняя антивирусная компания Avast продает «Каждый поиск. Каждый щелчок. Каждую покупку. На каждом сайте». Среди его клиентов были Home Depot, Google, Microsoft, Pepsi и McKinsey.

Обновление: После этого расследования  Avast объявил, что прекратит сбор данных  Jumpshot и немедленно  прекратит работу Jumpshot  .

Как показало совместное расследование Motherboard и PCMag, антивирусная программа, используемая сотнями миллионов людей по всему миру, продает конфиденциальные данные о просмотре веб-страниц многим крупнейшим мировым компаниям. Данный отчет основан на утечке пользовательских данных, контрактов и других документов компании, которые показывают, что продажа этих данных является одновременно очень конфиденциальной и во многих случаях предполагается, что она останется конфиденциальной между компанией, продающей данные, и клиентами, покупающими их. [ Leaked Documents Expose the Secretive Market for Your Web Browsing Data (vice.com) ]

Документы Jumpshot, дочерней компании антивирусного гиганта Avast, проливают новый свет на секретную цепочку продаж и поставок историй просмотра людьми в Интернете. Они показывают, что антивирусная программа Avast, установленная на компьютере человека, собирает данные, и что Jumpshot переупаковывает их в различные продукты, которые затем продаются многим крупнейшим компаниям мира. Некоторые прошлые, настоящие и потенциальные клиенты включают Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit и многие другие. Некоторые клиенты заплатили миллионы долларов за продукты, которые включают так называемую «Ленту всех кликов», которая может с высокой точностью отслеживать поведение пользователей, клики и перемещения по веб-сайтам.

Avast утверждает, что  у него более 435 миллионов активных пользователей в месяц  , а Jumpshot сообщает, что  у  него  есть данные со 100 миллионов устройств  . Avast собирает данные от пользователей, которые согласились, а затем предоставляет их Jumpshot, но несколько пользователей Avast сказали Motherboard, что они не знали, что Avast продает данные просмотра, что вызвало вопросы о том, насколько информировано это согласие.

Данные , полученные Motherboard и PCMag  включают Google поиск, Lookups локаций и координаты GPS на Google Maps, посещение страниц компаний в LinkedIn, частные видео на YouTube, а также людей , посещающих порно сайты. Из собранных данных, можно определить дату и время анонимного посещения YouPorn и PornHub, а в некоторых случаях какие конкретные видео они смотрели.

Хотя данные не включают личную информацию, такую как имена пользователей, они по-прежнему содержат множество конкретных данных о просмотре, и эксперты говорят, что можно деанонимизировать определенных пользователей.

До недавнего времени Avast собирал данные о просмотрах своих клиентов, которые установили подключаемый модуль браузера, предназначенный для предупреждения пользователей о подозрительных веб-сайтах. Исследователь безопасности и создатель AdBlock Plus Владимир Палант  опубликовал  в октябре  сообщение в блоге,  в котором рассказал, что Avast собирает пользовательские данные с помощью этого плагина. Вскоре после этого производители браузеров Mozilla, Opera  и Google удалили расширения Avast и дочерних компаний AVG  из своих магазинов расширений.

Вместе с тем стоит напомнить, что после покупки AVG, Avast официально рассказал, что собирает личную информацию для поддержки своих бесплатных антивирусов и пользователи могли прочесть это в лицензионном соглашении. Но ведь кто читает их до конца? Да никто!

Вместо того, чтобы собирать информацию с помощью программного обеспечения, подключенного к браузеру, Avast делает это с помощью самого антивирусного программного обеспечения. На прошлой неделе, через несколько месяцев после того, как было обнаружено, что он использует расширения браузера для отправки данных в Jumpshot, Avast начал просить своих существующих потребителей бесплатного антивируса согласиться на сбор данных, согласно внутреннему документу.

Несмотря на то, что Avast в настоящее время просит пользователей разрешить сбор данных через всплывающее окно в антивирусном программном обеспечении, несколько пользователей Avast заявили, что не знали, что Avast продает данные о просмотре. Естественно, гораздо проще заявить о том, что вы не знали о сборе данных, чем открыто признать, что вы просто не читаете что вам предлагают и молча соглашаетесь со всем.

ВСЕ КЛИКИ

Jumpshot продает множество различных продуктов на основе данных, собранных антивирусным программным обеспечением Avast, установленным на компьютерах пользователей. В руководстве по продукту говорится, что клиенты из институционального финансового сектора часто покупают ленту из 10 000 основных доменов, которые посещают пользователи Avast, чтобы попытаться определить тенденции.

Еще один продукт Jumpshot — это так называемая компания «All Click Feed». Он позволяет клиенту покупать информацию обо всех кликах, которые Jumpshot видел в определенном домене, например Amazon.com, Walmart.com, Target.com, BestBuy.com или Ebay.com.

Данные Jumpshot могут показать, как кто-то с установленным на компьютере антивирусом Avast искал продукт в Google, щелкал ссылку, ведущую на Amazon, а затем, возможно, добавлял товар в свою корзину на другом веб-сайте, прежде чем, наконец, купить продукт.

Вместе с тем стоит отметить, что данные Jumpshot не могут быть полностью анонимными. Во внутреннем справочнике по продукту говорится, что идентификаторы устройств не меняются для каждого пользователя, «если только пользователь полностью не удалит и не переустановит программное обеспечение безопасности». Многочисленные статьи и академические исследования показали, как можно разоблачить людей, используя так называемые анонимные данные. В 2006 году репортеры New York Times смогли  идентифицировать конкретного человека  из якобы анонимных поисковых данных, опубликованных AOL. Хотя проверенные данные были больше сосредоточены на ссылках в социальных сетях, которые Jumpshot несколько отредактировал, исследование Стэнфордского университета в 2017 году показало, что  можно идентифицировать людей по анонимным данным о просмотре веб-страниц  .

Деанонимизация становится более серьезной проблемой при рассмотрении того, как конечные пользователи данных Jumpshot могут объединить их со своими собственными данными.

По материалам https://www.vice.com/en/article/qjdkq7/avast-antivirus-sells-user-browsing-data-investigation

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Владимир Безмалый

О безопасности и не только