antivirusul dvs. ar trebui să vă protejeze, dar dacă predă istoricul browserului dvs. unei mari companii de marketing?
relaxați-vă. Asta a spus Avast publicului după ce extensiile browserului său au fost găsite recoltând datele utilizatorilor pentru a le furniza marketerilor. Luna trecută, compania antivirus a încercat să justifice practica susținând că istoriile web colectate au fost dezbrăcate de detaliile personale ale utilizatorilor înainte de a fi predate.,”datele sunt complet dezidentificate și agregate și nu pot fi utilizate pentru a vă identifica sau viza personal”, a spus Avast utilizatorilor, care optează pentru partajarea datelor. În schimb, confidențialitatea dvs. este păstrată, Avast este plătit, iar marketerii online primesc o mulțime de date” agregate ” ale consumatorilor pentru a-i ajuta să vândă mai multe produse.
există o singură problemă: ceea ce ar trebui să fie o bucată uriașă de date anonimizate ale istoricului web poate fi de fapt cules și legat înapoi la utilizatorii Avast individuali, potrivit unei investigații comune a PCMag și a plăcii de bază.,divizia Avast însărcinată cu vânzarea datelor este Jumpshot, o filială a companiei care oferă acces la traficul utilizatorilor de la 100 de milioane de dispozitive, inclusiv PC-uri și telefoane. În schimb, clienții-de la branduri mari la furnizori de comerț electronic—pot afla ce cumpără consumatorii și unde, fie că este vorba de o căutare Google sau Amazon, de un anunț dintr-un articol de știri sau de o postare pe Instagram.,datele colectate sunt atât de granulare încât clienții pot vedea clicurile individuale pe care utilizatorii le fac în sesiunile lor de navigare, inclusiv timpul până la milisecundă. Și în timp ce datele colectate nu sunt niciodată legate de numele, adresa de e-mail sau adresa IP a unei persoane, fiecare istoric al utilizatorului este totuși atribuit unui identificator numit ID-ul dispozitivului, care va persista dacă utilizatorul nu dezinstalează produsul antivirus Avast.de exemplu, un singur clic poate arăta teoretic astfel:
la prima vedere, clicul pare inofensiv. Nu puteți să-l fixați la un utilizator exact., Asta este, dacă nu ești Amazon.com, care ar putea să-și dea seama cu ușurință ce Utilizator Amazon a cumpărat un iPad Pro la 12:03:05 în decembrie. 1, 2019. Dintr-o dată, ID-ul dispozitivului: 123abcx este un utilizator cunoscut. Și orice altceva are Jumpshot asupra activității 123abcx—de la alte achiziții de comerț electronic la căutări Google-nu mai este anonim.PCMag și placa de bază au aflat despre detaliile din jurul colectării datelor dintr-o sursă familiară cu produsele Jumpshot., Iar experții în Confidențialitate cu care am vorbit au fost de acord că informațiile despre marca temporală, ID-urile persistente ale dispozitivului, împreună cu adresele URL colectate ar putea fi analizate pentru a expune identitatea cuiva.”majoritatea amenințărilor reprezentate de de—anonimizare—în cazul în care identificați oamenii-provin din capacitatea de a îmbina informațiile cu alte date”, a spus Gunes Acar, un cercetător în domeniul confidențialității care studiază urmărirea online.el subliniază că marile companii precum Amazon, Google și comercianții cu amănuntul de marcă și firmele de marketing pot acumula jurnale întregi de activitate pe utilizatorii lor., Cu datele Jumpshot, companiile au un alt mod de a urmări amprentele digitale ale utilizatorilor pe internet.
cauti oferte pe cele mai recente Tech?
acest buletin informativ poate conține publicitate, oferte sau link-uri afiliate. Abonarea la un buletin informativ indică consimțământul dvs. pentru termenii de Utilizare și Politica de Confidențialitate. Vă puteți dezabona în orice moment.”poate că datele (Jumpshot) în sine nu identifică oamenii”, a spus Acar. „Poate este doar o listă de ID-uri de utilizator hashed și unele adrese URL., Dar poate fi întotdeauna combinat cu alte date de la alți marketeri, alți agenți de publicitate, care pot ajunge practic la identitatea reală.”
„toate clicurile Feed”
conform documentelor interne, Jumpshot oferă o varietate de produse care servesc datele colectate de browser în moduri diferite. De exemplu, un produs se concentrează pe căutările pe care oamenii le fac, inclusiv cuvintele cheie utilizate și rezultatele pe care s-a făcut clic.am văzut un instantaneu al datelor colectate și am văzut jurnale cu întrebări despre subiecte banale, de zi cu zi., Dar au existat și căutări sensibile pentru porno-inclusiv informații despre sexul minor-pe care nimeni nu le-ar dori legat de ele.Facebook și Instagram.
alte produse Jumpshot sunt concepute pentru a urmări videoclipurile pe care utilizatorii le vizionează pe YouTube, Facebook și Instagram. Un alt se învârte în jurul analizei unui domeniu select de comerț electronic pentru a ajuta marketerii să înțeleagă modul în care utilizatorii îl ating.dar, în ceea ce privește un anumit client, Jumpshot pare să fi oferit acces la tot., În decembrie 2018, Omnicom Media Group, un important furnizor de marketing, a semnat un contract pentru a primi ceea ce se numește „fluxul tuturor clicurilor” sau fiecare clic Jumpshot colectează de la utilizatorii Avast. În mod normal, feedul All Clicks este vândut fără ID-uri de dispozitiv „pentru a proteja împotriva triangulării PII (informații de identificare personală)”, spune manualul produsului Jumpshot. Dar când vine vorba de Omnicom, Jumpshot livrează produsul cu ID-uri de dispozitiv atașate la fiecare clic, conform contractului.,în plus, contractul solicită Jumpshot să furnizeze șirul URL fiecărui site vizitat, adresa URL de referință, marcajele de timp până la milisecundă, împreună cu vârsta și sexul suspect al utilizatorului, care poate deduce pe baza site-urilor pe care le vizitează persoana.nu este clar de ce Omnicom dorește datele. Compania nu a răspuns la întrebările noastre. Dar contractul ridică perspectiva deranjantă Omnicom poate dezvălui datele Jumpshot pentru a identifica utilizatorii individuali.,deși Omnicom în sine nu deține o platformă majoră de internet, datele Jumpshot sunt trimise către o filială numită Annalect, care oferă soluții tehnologice pentru a ajuta companiile să-și îmbine propriile informații despre clienți cu date terțe. Contractul pe trei ani a intrat în vigoare în ianuarie 2019 și oferă Omnicom acces la datele zilnice de clic pe 14 piețe, inclusiv SUA, India și Marea Britanie. În schimb, Jumpshot primește 6,5 milioane de dolari.
cine altcineva ar putea avea acces la datele lui Jumpshot rămâne neclar., Site-ul companiei spune că a lucrat cu alte mărci, inclusiv IBM, Microsoft și Google. Cu toate acestea, Microsoft a spus că nu are nicio relație actuală cu Jumpshot. IBM, pe de altă parte, nu are „nicio înregistrare” de a fi client al Avast sau Jumpshot. Google nu a răspuns la o solicitare de comentarii.alți clienți menționați în marketingul Jumpshot acoperă companiile de produse de consum Unilever, Nestle Purina și Kimberly-Clark, pe lângă furnizorul TurboTax Intuit., De asemenea, sunt numite firme de cercetare de piață și consultanță McKinsey & companie și GfK, care au refuzat să comenteze parteneriatul său cu Jumpshot. Încercările de a confirma alte relații cu clienții au fost întâmpinate în mare parte fără răspunsuri. Dar documentele pe care le-am obținut arată că datele Jumpshot ar putea merge la firme de capital de risc.
‘e Aproape Imposibil să De-a Identifica Date’
Wladimir Palant este cercetator de securitate, care inițial a declanșat luna trecută control public al Avast de date-colecție de politici., În octombrie, a observat ceva ciudat cu extensiile de browser ale companiei antivirus: înregistrau fiecare site web vizitat alături de un ID de utilizator și trimiteau informațiile către Avast.constatările l-au determinat să strige extensiile ca spyware. Ca răspuns, Google și Mozilla le-au eliminat temporar până când Avast a implementat noi protecții de confidențialitate. Totuși, Palant a fost încercarea de a înțelege ceea ce Avast înseamnă atunci când spune că „de-identifică” și „agregate” utilizatorilor istoricul browser-ului atunci când antivirus compania a abținut de la a dezvălui public exact proces tehnic.,
„agregarea ar însemna în mod normal că datele mai multor utilizatori sunt combinate. Dacă clienții Jumpshot pot vedea în continuare datele utilizatorilor individuali, este foarte rău”, a spus Palant într-un interviu prin e-mail.o salvgardare Jumpshot folosește pentru a împiedica clienții să identifice identitățile reale ale utilizatorilor Avast este un proces brevetat conceput pentru a îndepărta informațiile PII, cum ar fi numele și adresele de e-mail, de la apariția în adresele URL colectate. Dar chiar și cu stripping-ul PII, Palant spune că colectarea datelor expune în continuare inutil utilizatorii Avast la riscurile de confidențialitate.,
„este greu de imaginat că orice algoritm de anonimizare va putea elimina toate datele relevante. Există pur și simplu prea multe site-uri web acolo și fiecare dintre ele face ceva diferit”, a spus el. De exemplu, Palant subliniază modul în care vizitarea linkurilor URL colectate pentru un utilizator ar putea dezvălui în mod constant ce tweet-uri sau videoclipuri a comentat persoana și, astfel, expune identitatea reală a utilizatorului.,
„este aproape imposibil să de-identificați datele”, a declarat Eric Goldman, co-director al Institutului de drept de înaltă tehnologie de la Universitatea Santa Clara, care a luat de asemenea problema cu o companie antivirus care monetizează datele utilizatorilor. „Sună doar ca o practică de afaceri teribilă. Ar trebui să protejeze consumatorii de amenințări, mai degrabă decât să-i expună la amenințări.”
‘minte partajarea unor date cu noi?’
am adresat Avast mai mult de o duzină de întrebări cu privire la amploarea datelor colectate, cu cine este partajat, împreună cu informații despre contractul Omnicom., A refuzat să răspundă la majoritatea întrebărilor noastre sau să ofere un contact pentru Jumpshot, care nu a răspuns la apelurile sau e-mailurile noastre. Cu toate acestea, Avast a spus că a încetat colectarea datelor utilizatorilor în scopuri de marketing prin extensiile de browser Avast și AVG.”am întrerupt complet practica utilizării oricăror date din extensiile browserului în orice alt scop decât motorul de securitate de bază, inclusiv partajarea cu Jumpshot”, a declarat compania într-un comunicat.,cu toate acestea, Divizia Jumpshot Avast poate colecta în continuare istoricul browserului dvs. prin principalele aplicații antivirus Avast pe desktop și mobil. Acestea includ antivirusul AVG, pe care îl deține și Avast. Recoltarea datelor are loc prin intermediul componentei Web Shield a software-ului, care va scana și adresele URL din browserul dvs. pentru a detecta site-uri web rău intenționate sau frauduloase.din acest motiv, PCMag nu mai poate recomanda Avast Free Antivirus ca alegere a editorilor în categoria protecției antivirus gratuite.
dacă compania are într-adevăr nevoie de adresele URL pentru a vă proteja este în dezbatere., Avast spune că luarea informațiilor direct și lăsarea serverelor cloud ale Avast le scanează imediat oferă utilizatorilor „straturi suplimentare de securitate.”Dar aceeași abordare are propriile riscuri, potrivit cercetătorului de confidențialitate Gunes Acar, care a spus că cel mai sigur mod de a procesa adresele URL vizitate este să nu le colectați niciodată. API-ul de navigare sigură Google, de exemplu, trimite o listă neagră actualizată de site-uri web proaste către browserul aparatului dvs., astfel încât adresele URL să poată fi verificate pe computer, mai degrabă decât pe cloud.
„se poate face într-un mod mai privat”, a spus Acar. „Avast ar trebui să adopte cu siguranță acest lucru., Dar se pare că sunt în afaceri de a face bani de la adresele URL.pe de altă parte, Avast oferă un produs antivirus gratuit. Compania subliniază, de asemenea, colecția de istorie a browserului este opțională. Puteți să-l opriți la instalare sau în panoul de setări.
„utilizatorii au avut întotdeauna posibilitatea de a renunța la partajarea datelor cu Jumpshot., Începând cu iulie 2019, am început deja să implementăm o alegere opt-in explicită pentru toate descărcările noi ale av-ului nostru (antivirus) și acum solicităm utilizatorilor noștri existenți să facă o alegere explicită, proces care va fi finalizat în februarie 2020”, a spus compania.într-adevăr, atunci când instalați antivirusul Avast sau AVG pe un PC Windows, produsul vă va afișa un pop-up care vă întreabă: „vă deranjează partajarea unor date cu noi?”Fereastra pop-up va continua apoi să vă spună că datele colectate vor fi de-identificate și agregate ca o modalitate de a vă proteja confidențialitatea.,cu toate acestea, nu se face nicio mențiune despre modul în care aceleași date pot fi combinate cu alte informații pentru a vă conecta identitatea la istoricul browserului colectat. Nici pop-up nu menționează modul în care Jumpshot poate păstra accesul la date timp de trei ani. Pentru acest detaliu, va trebui să vă uitați la imprimarea fină din Politica de confidențialitate Avast.drept urmare, utilizatorii care văd fereastra pop-up pot presupune că datele lor vor fi protejate și pot opta atunci când, în realitate, politicile de confidențialitate din jurul produselor tehnologice sunt adesea în mod deliberat vagi și simplificate. „Doriți ca consumatorul să cumpere sau să utilizeze produsul dvs., Dar nici nu vrei să-i sperii”, a spus Kim Phan, partener la firma juridică Ballard Spahr, care lucrează în grupul de confidențialitate și securitate a datelor.compromisul este că politicile pot deveni opace. „Este mai greu să-ți dai seama ce faci”, a adăugat ea. „Oamenii nu vor putea înțelege detaliile sau vor crede că încerci să ascunzi ceva.”
În cazul lui Avast, controversa din jurul practicilor de colectare a datelor în mare parte necunoscute a determinat o examinare suficientă pe care senatorul american Ron Wyden a decis să o investigheze., „Americanii se așteaptă ca software-ul de securitate cibernetică și confidențialitate să-și protejeze datele, nu să le vândă marketerilor”, a replicat el la acea vreme.într-o declarație, Wyden a spus că a fost încurajat că Avast încheie colectarea datelor prin extensiile browserului companiei. „Cu toate acestea, sunt îngrijorat de faptul că Avast nu s-a angajat încă să șteargă datele utilizatorilor care au fost colectate și partajate fără acordul de înscriere al utilizatorilor săi sau să pună capăt vânzării de date sensibile de navigare pe internet”, a adăugat el., „Singurul mod responsabil de acțiune este de a fi pe deplin transparent cu clienții care merg înainte și de a curăța datele colectate în condiții suspecte în trecut.”
ACTUALIZARE 1/30: După mixt PCMag-Placa de baza anchetei făcut valuri, inclusiv Senatorul Mark Warner pedepsindu FTC mingea pe supraveghere, Avast a anunțat că își va închide operațiunile la Aruncările. „În calitate de CEO al Avast, mă simt personal responsabil și aș dori să-mi cer scuze tuturor celor în cauză”, a declarat Ondrej Vlcek într-o declarație.
