Совместное расследование, проведенное изданиями Vice Motherboard и PCMag, обнаружило, что антивирус Avast собирает пользовательские данные, которые затем перепродаются таким гигантам, как Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit и многим, многим другим.
Подразделение Avast, занимающееся продажей данных, — это дочерняя компания Jumpshot, которая предлагает своим клиентам доступ к пользовательскому трафику со 100 000 000 устройств, включая компьютеры и телефоны.
Выводы исследователей основаны на анализе утечек, контрактов и других документов компании. Журналисты подчеркивают, что подобные сделки между компаниями обычно являются крайне конфиденциальными, а сотрудники компаний, как правило, проинструктированы не говорить публично об отношениях Jumpshot.
Клиенты готовы платить за пользовательские данные миллионы долларов, а продукты Jumpshot, вроде All Clicks Feed, позволяют отслеживать действия пользователей с точности до клика на конкретном домене. К примеру, данные Jumpshot могут наглядно показать, как пользователь антивируса Avast искал продукт в Google, перешел по ссылке на Amazon, а затем, возможно, добавил товар в корзину на другом сайте, прежде чем, наконец, купил его.
Другие продукты Jumpshot, к примеру, предназначены для отслеживания того, какие видео пользователи просматривают на YouTube, Facebook и Instagram или для анализа конкретных e-commerce доменов, чтобы помочь маркетологам понять, как пользователи на них попадают.
Одной из компаний, которая пользовалась инструментом All Clicks Feed, является нью-йоркская маркетинговая фирма Omnicom Media Group. Согласно документации Jumpshot, Omnicom заплатила Jumpshot 2 075 000 долларов за доступ к данным только в 2019 году.
Напомню, что впервые о проблемах приватности в продуктах Avast заговорили в декабре прошлого года. Тогда организация Mozilla получила предупреждение от разработчика AdBlock Plus Владимира Паланта. Еще осенью 2019 года он изучил работу Avast Online Security и AVG Online Security, и обнаружил, что аддоны для Firefox собирают куда больше данных, чем необходимо для их работы, в том числе подробную историю браузера. Затем Палант опубликовал в своем блоге еще один материал, в котором рассказал об аналогичном поведении Avast SafePrice и AVG SafePrice. В итоге все расширения были удалены из официального каталога расширений для Firefox, а вскоре примеру инженеров Mozilla последовали и разработчики Opera и Google, тоже исключив из своих каталогов расширения Avast и дочерней AVG.
Тогда представители Avast уверяли, что упомянутому Avast Online Security просто необходимо собирать историю URL-адресов, чтобы обеспечить пользователям безопасность, ведь аддон предназначен для защиты от фишинга и вредоносных сайтов. Подчеркивалось, что сбор данных осуществляется без идентификации пользователя, то есть все данные обезличены.
Как теперь рассказывают Vice Motherboard и PCMag, собираемые Avast пользовательские данные настолько детализированы, что клиенты могут «видеть» даже отдельные клики, которые пользователи делают во время сессий, причем с точностью до миллисекунды. Также осуществляется сбор информации о поисковых запросах в Google, поиске локаций и координат GPS на Google Maps, данных о посещениях страниц компаний на LinkedIn и конкретных видео на YouTube, а также информация о посещении порносайтов. Например, можно определить дату и время, когда анонимный пользователь посетил YouPorn и PornHub, а в некоторых случаях, даже узнать, что именно он искал там и что смотрел в итоге.
И хотя собираемые данные действительно не связываются с именем человека, адресом его электронной почты или IP-адресом, то есть являются де-юре обезличенными, каждому пользователю все же присваивается уникальный ID, называемый идентификатором устройства, который сохраняется до тех пор, пока пользователь не удалит со своего устройства антивирусный продукт Avast.
ИБ-эксперты уверяют, что располагая такой детальной информацией, как предоставляет своим клиентам Jumpshot, компаниям-клиентам будет совсем нетрудно сопоставить эти исчерпывающие данные с информацией из других источников, в итоге составив подробный профиль конкретного человека. По мнению экспертов и журналистов, вряд ли в таком случае корректно говорить про обезличенность собираемых данных.
«Возможно, сами данные (Jumpshot) не идентифицируют людей. Возможно, это просто список хэшированных ID пользователей и некоторых URL-адресов. Но его всегда можно объединить с данными других маркетологов, других рекламодателей, что, по сути, приведет к настоящей личности пользователя», — говорит ИБ-специалист Ганес Акар (Gunes Acar).
После прошлогоднего скандала из-за браузерных расширений представители Avast уверяли, что прекратили собирать и передавать пользовательские данные Jumpshot, но теперь журналисты говорят, что сбор информации продолжается. Просто теперь Avast собирает данные не с помощью браузерных аддонов, а при помощи самого антивируса.
Согласно внутренним документам, спрашивать у пользователей бесплатных антивирусных решений разрешение на сбор данных Avast начал на прошлой неделе. Документация гласит, что если пользователь предоставит свое согласие, его устройство станет частью Jumpshot Panel, то есть станет сливать информацию обо всей интернет-активности браузера, включая данные о том, какие URL посещали с устройства, в каком порядке и когда именно.
Vice Motherboard и PCMag обратились за официальным комментарием к самим представителям Avast, однако те не стали отвечать на большинство вопросов журналистов. В компании лишь подчеркнули, что соблюдают законы и предоставляют пользователям возможность отказаться от сбора данных в пользу Jumpshot. Также официальное заявление Avast гласит:
«Мы гарантируем, что Jumpshot не получает личную идентификационную информацию, включая имена, адреса электронной почты или контактные данные людей, которые используют наше популярное бесплатное антивирусное ПО. <...> Мы имеем большой опыт в сфере защиты пользовательских устройств и данных от вредоносных программ, и со всей серьезностью и ответственностью относимся к обеспечению баланса между конфиденциальностью пользователей и необходимым использованием данных».