Your antivirus should protect you, but what if it’s giving over your browser history to a major marketing company?relaxa. Isso foi o que Avast disse ao público depois que suas extensões de navegador foram encontradas recolhendo dados dos usuários para fornecer aos comerciantes. No mês passado, a empresa antivirus tentou justificar a prática alegando que os históricos coletados da web foram despojados dos dados pessoais dos usuários antes de ser entregue.,
“os dados são totalmente des-identificados e agregados e não podem ser usados para identificar ou atingir pessoalmente você”, disse Avast aos usuários, que optam pela partilha de dados. Em troca, a sua privacidade é preservada, a Avast é paga e os comerciantes online recebem uma quantidade de dados “agregados” do consumidor para ajudá-los a vender mais produtos.
Há apenas um problema: o que deve ser um pedaço gigante de dados de histórico anonimizado da web pode realmente ser separado e ligado de volta a usuários individuais do Avast, de acordo com uma investigação conjunta por PCMag e placa-mãe.,
How ‘De-Identification’ Can Fail
The Avast division charged with selling the data is Jumpshot, a company subsidiary that’s been offering access to user traffic from 100 million devices, including PCs and phones. Em troca, os clientes – de grandes marcas a fornecedores de E-commerce-podem aprender o que os consumidores estão comprando e onde, seja por uma pesquisa Google ou Amazon, Um anúncio de um artigo de notícias, ou um post no Instagram.,
os dados recolhidos são tão granulares que os clientes podem ver os cliques individuais que os utilizadores estão a fazer nas suas sessões de navegação, incluindo o tempo até ao milissegundo. E embora os dados coletados nunca estejam ligados ao nome de uma pessoa, e-mail ou endereço IP, cada histórico de usuário é, no entanto, atribuído a um identificador chamado ID do dispositivo, que irá persistir, a menos que o usuário desinstala o produto antivírus Avast.
Por exemplo, um único clique pode teoricamente ser assim:
à primeira vista, o clique parece inofensivo. Não se pode atribuir a um utilizador EXACTO., Isto é, a menos que estejas Amazon.com, que poderia facilmente descobrir qual usuário da Amazon comprou um iPad Pro às 12:03:05 em Dezembro. 1, 2019. Subitamente, o ID do dispositivo: 123abcx é um utilizador conhecido. E o que quer que o Jumpshot tenha sobre a atividade do 123abcx—de outras compras de E-commerce para pesquisas no Google—já não é anônimo.
PCMag E Motherboard aprenderam sobre os detalhes em torno da coleta de dados a partir de uma fonte familiar com os produtos do Jumpshot., E especialistas em privacidade com quem falámos concordaram que a informação do timestamp, identificações de dispositivos persistentes, juntamente com as URLs coletadas, poderiam ser analisadas para expor a identidade de alguém.
“a maioria das ameaças colocadas pela des-anonimização—onde você está identificando pessoas—vem da capacidade de fundir a informação com outros dados”, disse Gunes Acar, um pesquisador de Privacidade que estuda rastreamento online.ele ressalta que grandes empresas como a Amazon, Google, e varejistas de marca e empresas de marketing podem acumular logs de atividade inteira em seus usuários., Com os dados do Jumpshot, as empresas têm outra maneira de rastrear as pegadas digitais dos usuários através da internet.
à procura de ofertas sobre a última tecnologia?esta newsletter pode conter publicidade, ofertas ou links de afiliados. Subscrever um boletim informativo indica o seu consentimento para os nossos Termos de uso e Política de Privacidade. Pode cancelar a subscrição a qualquer momento.
“Maybe the (Jumpshot) data itself is not identifying people,” Acar said. “Talvez seja apenas uma lista de identificações de utilizador e URLs., Mas pode sempre ser combinado com outros dados de outros comerciantes, outros anunciantes, que podem basicamente chegar à verdadeira identidade.”
the ‘All cliques Feed’
According to internal documents, Jumpshot offers a variety of products that serve up collected browser data in different ways. Por exemplo, um produto se concentra em pesquisas que as pessoas estão fazendo, incluindo palavras-chave usadas e resultados que foram clicados.
Nós vimos um instantâneo dos dados coletados, e vimos registros com consultas sobre temas mundanos, cotidianos., Mas também houve buscas sensíveis por pornografia—incluindo menores de idade—informação que ninguém iria querer ligada a eles.Facebook, Instagram e YouTube são projetados para rastrear os vídeos que os usuários estão assistindo no YouTube, Facebook e Instagram. Outro gira em torno de analisar um domínio de E-commerce selecionado para ajudar os comerciantes a entender como os usuários estão alcançando-o.
mas em relação a um cliente em particular, Jumpshot parece ter oferecido acesso a tudo., Em dezembro de 2018, O Omnicom Media Group, um grande provedor de marketing, assinou um contrato para receber o que é chamado de “All cliques Feed”, ou cada Clique que Jumpshot está coletando de usuários do Avast. Normalmente, a alimentação de todos os cliques é vendida sem IDs do dispositivo “para proteger contra a triangulação de PII (informações de identificação pessoal)”, diz O Manual Do Produto do Jumpshot. Mas quando se trata de Omnicom, Jumpshot está entregando o produto com IDs de dispositivo ligado a cada clique, de acordo com o contrato.,
in addition, the contract calls for Jumpshot to supply the URL string to each site visited, the referring URL, the timestamps down to the millisecond, along with the suspected age and gender of the user, which can inferred based on what sites the person is visiting.
não é claro por que Omnicom quer os dados. A empresa não respondeu às nossas perguntas. Mas o contrato levanta a inquietante perspectiva Omnicom pode desvendar dados do Jumpshot para identificar usuários individuais.,
embora a Omnicom em si não possua uma grande plataforma de internet, os dados Jumpshot estão sendo enviados para uma subsidiária chamada Annalect, que está oferecendo soluções tecnológicas para ajudar as empresas a fundir sua própria informação de cliente com dados de terceiros. O contrato de três anos entrou em vigor em janeiro de 2019, e dá à Omnicom acesso aos dados diários do fluxo de dados em 14 mercados, incluindo os EUA, Índia e Reino Unido. Em troca, o Jumpshot recebe 6,5 milhões de dólares.
quem mais pode ter acesso aos dados do Jumpshot permanece incerto., O site da empresa diz que trabalhou com outras marcas, incluindo IBM, Microsoft e Google. No entanto, a Microsoft disse que não tem relação atual com o Jumpshot. IBM, por outro lado, não tem “nenhum registro” de ser um cliente de Avast ou Jumpshot. O Google não respondeu a um pedido de comentário.outros clientes mencionados no marketing da Jumpshot abrangem as empresas de produtos de consumo Unilever, Nestle Purina e Kimberly-Clark, além do Fornecedor de TurboTax Intuit., Também são nomeadas empresas de pesquisa de mercado e consultoria McKinsey & Company e GfK, que se recusaram a comentar sobre sua parceria com Jumpshot. As tentativas de confirmar outras relações com os clientes foram em grande parte atendidas sem respostas. Mas os documentos que obtivemos mostram os dados que podem ir para empresas de capital de risco.Wladimir Palant é o Pesquisador de segurança que inicialmente iniciou o exame público do mês passado das políticas de coleta de dados da Avast., Em outubro, ele notou algo estranho com as extensões de navegador da empresa antivírus: eles estavam registrando todos os sites visitados ao lado de um ID de usuário e enviando a informação para o Avast.
Os Achados o levaram a chamar as extensões como spyware. Em resposta, o Google e o Mozilla os removeram temporariamente até que o Avast implementou novas proteções de Privacidade. Ainda assim, Palant tem tentado entender o que Avast significa quando ele diz que “des-identifica” e “agrega” histórico de Usuários de navegador quando a empresa antivírus se absteve de revelar publicamente o processo técnico exato.,agregação
” significaria normalmente que os dados de múltiplos utilizadores são combinados. Se os clientes Jumpshot ainda podem ver dados de usuários individuais, isso é muito ruim”, disse Palant em uma entrevista por e-mail.um Jumpshot de salvaguarda usa para impedir que os clientes identifiquem as identidades reais dos usuários do Avast é um processo patenteado projetado para retirar informações do PII, tais como nomes e endereços de E-mail, de aparecer nos URLs coletados. Mas mesmo com a remoção de PII, Palant diz que a coleta de dados ainda está desnecessariamente expondo os usuários Avast a riscos de Privacidade.,
” é difícil imaginar que qualquer algoritmo de anonimização será capaz de remover todos os dados relevantes. Há simplesmente muitos sites por aí, e cada um deles faz algo diferente”, disse ele. Por exemplo, Palant aponta como visitar os links de URL coletados para um usuário poderia consistentemente revelar quais tweets ou vídeos que a pessoa comentou, e assim expor a identidade real do Usuário.,
“é quase impossível desidentificar dados”, disse Eric Goldman, co-diretor do Instituto de direito de alta tecnologia da Universidade de Santa Clara, que também teve problemas com uma empresa antivírus monetizando os dados dos usuários. “Parece uma péssima prática de negócios. É suposto protegerem os consumidores de ameaças, em vez de as exporem a ameaças.”
‘Mind Sharing Some Data With Us?’
nós fizemos Avast mais de uma dúzia de perguntas sobre a extensão dos dados coletados, com quem ele está sendo compartilhado, juntamente com informações sobre o contrato Omnicom., Recusou-se a responder à maioria das nossas perguntas ou a fornecer um contacto para o Jumpshot, que não respondeu às nossas chamadas ou e-mails. No entanto, Avast disse que parou de coletar dados de usuários para fins de marketing através das extensões Avast e AVG browser.
“Nós interrompemos completamente a prática de usar quaisquer dados das extensões do navegador para qualquer outro propósito que não o motor de segurança do núcleo, incluindo compartilhamento com Jumpshot”, a empresa disse em uma declaração.,
no entanto, a divisão de salto da Avast ainda pode coletar o histórico de seu navegador através das principais aplicações antivírus da Avast no desktop e móvel. Isto inclui AVG antivirus, que a Avast também possui. A coleta de dados ocorre através do componente Web Shield do software, que também irá digitalizar URLs em seu navegador para detectar sites maliciosos ou fraudulentos.
Por esta razão, o PCMag não pode mais recomendar o Avast Free Antivirus como uma escolha dos editores na categoria de free antivirus protection.
Se a empresa realmente precisa de seus URLs para protegê-lo está em debate., Avast diz que pegar as informações diretamente e deixar os servidores de nuvem da Avast digitalizá-las imediatamente fornece aos usuários “camadas adicionais de segurança”.”Mas a mesma abordagem tem seus próprios riscos, de acordo com o Pesquisador de Privacidade Gunes Acar, que disse que a maneira mais segura de processar URLs visitadas é nunca recolhê-los. A API de Navegação segura do Google, por exemplo, envia uma lista negra actualizada de sítios Web negativos para o navegador da sua máquina, para que os URLs possam ser verificados na sua máquina e não na nuvem.
“pode ser feito de uma forma mais privada”, disse Acar. “Avast deve definitivamente adoptar isso., Mas parece que estão no negócio de ganhar dinheiro com as URLs.”
no outro lado, Avast está oferecendo um produto Antivírus Gratuito. A empresa também aponta que a coleção de histórico do navegador é opcional. Você pode desligá-lo no install ou dentro do painel de configuração.
“os usuários sempre tiveram a capacidade de optar por não compartilhar dados com o Jumpshot., Data de julho de 2019, já havia iniciado a implementação de uma explícita opção para todos os novos downloads do nosso AV (antivírus), e agora estamos também solicitando nossos usuários para fazer uma escolha explícita, um processo que será concluído em fevereiro de 2020,” disse a empresa.
de facto, quando instalar o Avast ou o AVG antivirus num PC do Windows, o produto irá mostrar – lhe um pop-up que pergunta: “importa-se de partilhar alguns dados connosco?”O pop-up irá então proceder para lhe dizer que os dados coletados serão des-identificados e agregados como uma forma de proteger a sua privacidade.,
no entanto, nenhuma menção é feita sobre como os mesmos dados podem ser combinados com outras informações para conectar sua identidade ao histórico do navegador coletado. Nem o pop-up menciona como Jumpshot pode reter o acesso aos dados por três anos. Para esse detalhe, você terá que olhar para as letras pequenas na política de privacidade da Avast.
como resultado, os usuários que vêem o pop-up podem assumir que seus dados serão protegidos, e optar quando, na realidade, as Políticas de Privacidade em torno de produtos tecnológicos são muitas vezes deliberadamente vagas e simplificadas. “Você quer que o consumidor compre ou use o seu produto., Mas você também não quer assustá-los”, disse Kim Phan, uma parceira da firma de advogados Ballard Spahr, que trabalha no grupo de Privacidade e segurança de dados.o compromisso é que as políticas podem tornar-se opacas. “É mais difícil descobrir o que você está fazendo”, acrescentou. “As pessoas não serão capazes de entender os detalhes, ou vão pensar que você está tentando esconder algo.”
no caso de Avast, a controvérsia em torno das práticas de coleta de dados em grande parte desconhecidas levou o suficiente escrutínio que o Sen. Ron Wyden decidiu investigar., “Os americanos esperam que os softwares de segurança cibernética e Privacidade protejam seus dados, não os vendam aos comerciantes”, ele tuitou na época.
em uma declaração, Wyden disse que estava encorajado que Avast está terminando a coleta de dados através das extensões de navegador da empresa. “No entanto, estou preocupado que a Avast ainda não se comprometeu a excluir dados do usuário que foram coletados e compartilhados sem o consentimento de seus usuários, ou para acabar com a venda de dados sensíveis de navegação na internet”, acrescentou., “O único curso de ação responsável é ser totalmente transparente com os clientes avançando, e purgar os dados que foram coletados sob condições suspeitas no passado.”
UPDATE 1/30: After the joint PCMag-Motherboard investigation made waves, including Sen. Mark Warner castigating the FTC for dropping the ball on oversight, Avast announced it would shut down operations at Jumpshot. “Como CEO da Avast, eu me sinto pessoalmente responsável e gostaria de pedir desculpas a todos os envolvidos”, disse Ondrej Vlcek em um comunicado.