Antywirus Avast sprzedawał anonimowe dane użytkowników. Program wiedział o nas naprawdę dużo

Bartłomiej Pawlak
Antywirus Avast gromadził dokładne dane na temat swoich użytkowników, a następnie sprzedawał wielkim firmom za miliony dolarów - donoszą serwisy PCMag i Vice. Program miał zadziwiająco wiele informacji na temat naszych poczynań w internecie. Avast broni się, że sprzedawał tylko te, których nie można powiązać z konkretną osobą.
Zobacz wideo

O Avast Software (producencie programu Avast Antivirus) w kontekście ochrony prywatności zrobiło się głośno już w grudniu 2019 roku. Informowaliśmy wtedy, że Google, Mozilla i Opera usunęły ze swoich przeglądarek rozszerzenia Avasta. Dyrektor wykonawczy Avast przyznał się bowiem, że firma zbiera i udostępnia firmom trzecim dane swoich użytkowników zebrane za pomocą przeglądarkowych wtyczek.

Podkreślił jednak, że są to "zbiorcze" dane "pozbawione danych identyfikacyjnych" i nie da się ich wykorzystać do "zidentyfikowania konkretnej osoby" ani "targetowania użytkownika". Miały być przekazywane firmom zewnętrznym np. w celu badania rynkowych trendów.

Afery ciąg dalszy. Avast handluje naszymi danymi 

W reakcji na te doniesienia dziennikarskie śledztwo w sprawie działań Avasta przeprowadziły wspólnie serwisy PC Magazine i Vice (Motherboard). Jak donoszą, pomimo że firma zobowiązała się zaprzestać zbierania danych z rozszerzeń w przeglądarkach, w dalszym ciągu takie dane zdobywa (prawdopodobnie za pomocą samego antywirusa). Co więcej, są one na tyle precyzyjne, że w praktyce mogą pozwolić na przypisanie ich do konkretnej osoby.

Jak wskazują serwisy, Avast stworzył całą machinę handlującą danymi użytkowników. Spółka-córka firmy, która odpowiedzialna jest za proceder, nazywa się Jumpshot i oferuje dostęp do danych zebranych od 100 mln internautów. 

Oto one - niezwykle szczegółowe dane od 100 milionów ogólnoświatowych użytkowników i 20 milionów użytkowników aplikacji. Przeanalizuj je, jakkolwiek zechcesz: sprawdź, czego użytkownicy szukali, jak reagowali na konkretne marki lub produkty i co kupowali. Szukaj po kategorii, kraju lub domenie

- tak swoje usług zachwala Jumpshot.

Problem w tym, że dane, które Jumpshot oferuje, są niezwykle precyzyjne. Klienci firmy mogą sprawdzić, w co konkretnie klikali internauci i kiedy. Kliknięcia są ułożone chronologicznie i datowane z dokładnością do milisekundy. Przykładowy pojedynczy wpis z bazy, który udostępnił PCMag, wygląda tak:

Przykładowy wpis udostępniony przez PCMagPrzykładowy wpis udostępniony przez PCMag fot. screen ze strony pcmag.com / PCMag

Hipotetycznie, mając taki rekord, Amazon mógłby sprawdzić, kto konkretnie 1 grudnia 2019 o godzinie 12:03:05 kupił iPada Pro 10.5 2017. Prawdopodobieństwo, że dwie osoby kupiły identyczny produkt w tej samej milisekundzie, jest znikome, dlatego Amazon, korzystając z pozostałych danych od Jumpshot, mógłby łatwo dowiedzieć się, co wcześniej (lub później) robiła w internecie ta sama osoba. I to nie tylko na stronie tego konkretnego sklepu, lecz także w ogóle.

Po drugie rekord zawiera identyfikator urządzenia (abc123x), który istnieje tak długo, jak długo na komputerze zainstalowany jest antywirus Avast. Co prawda identyfikator nie jest powiązany z imieniem i nazwiskiem, adresem IP czy adresem e-mail, jednak jak tłumaczy PCMag, jeśli Jumpshot zapisał jakiekolwiek inne kliknięcia z tego samego urządzenia, można je ze sobą powiązać, tworząc chronologiczną historię przeglądania sieci z tego konkretnego komputera lub smartfona. Nie będzie to łatwe, ale teoretycznie można wtedy dowiedzieć się, kim jest dany użytkownik (np. łącząc te dane z informacjami z innych źródeł).

Może same dane (Jumpshot) nie identyfikują ludzi. Może to tylko lista zaszyfrowanych identyfikatorów użytkowników i adresów URL. Ale zawsze można je połączyć z danymi od innych marketerów, innych reklamodawców, którzy w zasadzie mogą dotrzeć do prawdziwej tożsamości

- mówi Gunes Acar, badacz ds. prywatności w sieci cytowany przez PCMag.

 

Jakie dane zbierał Avast?

Okazuje się też, że Avast miał na nasz temat szokująco wiele informacji. W zależności od "pakietu", który oferuje Jumpshot, można przeglądać wspomnianą już historię przeglądania w internecie, zapytania w Google, szukane lokalizacje w Mapach Google, listę oglądanych filmów na YouTube, Facebooku i Instagramie, profili na LinkedIn, a nawet dokładną historię przeglądanych stron pornograficznych. Jak tłumaczy Vice, w niektórych przypadkach dało się nawet określić, kiedy jaki konkretnie film został odtworzony i po jakim haśle (w wyszukiwarce) go znaleziono.

W ofercie Jumpshot znalazł się także "All Clicks Feed", czyli zbiór wszystkich kliknięć. W ramach umowy z grudnia 2018 roku korzystała z niego firma Omnicom Media Group, która dostawała dane ze wspomnianymi wcześniej identyfikatorami urządzeń, choć zwykle "All Clicks Feed" jest sprzedawany bez takich identyfikatorów. Za kontrakt na dane dostarczane przez trzy lata musiała zapłacić sześć i pół mln dolarów.

JumpshotJumpshot fot. screen ze strony Jumpshot (https://www.jumpshot.com/)

Co ciekawe, z usług Jumpshot korzystały również świetnie znane firmy takie jak Nestle, Pepsi, Expedia, Loreal, TripAdvisor, Yelp czy McKinsey & Company. Sam Jumpshot twierdzi, że współpracował również z Google, Microsoftem i IBM, ale dwie ostatnie firmy temu zaprzeczają (Google nie odpowiedział na pytania PCMag). Można podejrzewać, że inne firmy za dostarczane dane również musiały zapłacić miliony dolarów.

Nie ma sensu wpadać w panikę

Warto jednak uspokoić osoby szczególnie wrażliwe na punkcie własnej prywatności. Identyfikacja konkretnego użytkownika, chociaż w teorii możliwa, jest bardzo uciążliwa i mało prawdopodobne, aby jakikolwiek klient Jumpshot zadawał sobie tak wiele trudu, aby namierzyć przypadkowego Kowalskiego. Dla chcących są zresztą inne sposoby, aby to zrobić.

Po drugie, wspomniane wyżej marki raczej nie interesowały się danymi o konkretnych osobach, ale statystykami. To dzięki nim można sprawdzić, jakie produkty stają się coraz popularniejsze i jak internauci reagują na widok logo konkretnej marki. Można też zbadać wpływ kampanii reklamowych na liczbę złożonych zamówień, itp. Możliwości jest dość sporo i z tej perspektywy wydają się zupełnie niegroźne.

Sami się na to zgodziliśmy

Dane Jumpshot pochodzą od 100 mln użytkowników, a Avast ma ich 435 mln. To oznacza, że tylko (albo aż) niespełna 1/4 osób zgodziło się na śledzenie swoich poczynań w internecie. Tak, Avast podczas instalacji prosi użytkowników o to, aby przekazali swoje dane.

Instalator Avast - do lipca 2019 na zbieranie danych zgodzić się trzebaInstalator Avast - do lipca 2019 na zbieranie danych zgodzić się trzeba fot. dzięki uprzejmości Niebezpiecznik.pl

Program robił to już w instalatorze, na stronie zatytułowanej "Please Don't Skip This - Read it Carefully" (prosimy, nie pomijaj tego - przeczytaj to uważnie). W treści Avast informował, że będzie zbierał dane o użytkownikach i dzielił się nimi z podmiotami trzecimi. Niestety, zgoda była wymuszona, bo był to jeden z warunków, aby w ogóle zainstalować antywirusa (zmienić można było to dopiero później w ustawieniach). Można powiedzieć, że firma wymyśliła sobie takę formę zapłaty za darmowy program.

Avast na szczęście zauważył, że takie wymuszanie zgody nie jest niczym dobrym, dlatego (dopiero) w lipcu 2019 roku zmienił taktykę i pozwolił nie zgodzić się na zbieranie danych już na etapie instalacji. Mimo wszystko użytkownicy (teoretycznie) powinni być świadomi, że instalując Avasta, mogą przekazywać dane o swojej aktywności w sieci. Firma obiecała zakończyć proceder w lutym 2020 roku:

Użytkownicy zawsze mieli możliwość zrezygnowania z dzielenia się danymi z Jumpshot. Od lipca 2019 r. zaczęliśmy już wdrażać wyraźny wybór opcji [zgody lub rezygnacji z udostępniania danych - przyp. red.] we wszystkich nowych instalacjach naszego AV (antywirusa), a teraz zachęcamy również naszych obecnych darmowych użytkowników do dokonywania wyraźnego wyboru, proces ten zostanie zakończony w lutym 2020 r.

- informuje Avast cytowany przez PCMag.

Więcej o:
Komentarze (40)
Avast Antivirus sprzedawał dane internautów. Wiedział o nas niemal wszystko
Zaloguj się
  • homo_lupus

    Oceniono 13 razy 9

    Ilu jeszcze nie wie, że w kapitaliźmie nie ma czegoś takiego jak darmowy obiad? Jak widać, są ich setki milionów...

  • hopsasaitralala

    Oceniono 5 razy 5

    Nie ma znaczenia czego użyjesz, w świecie cyfrowym nikt nie jest anonimowy.
    Inną sprawą jest etyka wykorzystania informacji o tym w co klikałeś.
    Produkty szukają zbytu tam gdzie pojawiają się potrzeby.
    Nic nadzwyczajnego, Avast miał taki model biznesowy, ciekawe ilu użytkowników straci po takim newsie i jaki nowy model biznesowy wprowadzi do „darmowego” antywirusa.

  • big-gasch

    Oceniono 12 razy 4

    Avast "baza wirusów została zaktualizowana - zainstalowano 3 nowe wirusy".

  • krioprezerwacja

    Oceniono 7 razy 3

    E-recepty w Polsce to też początek udostępniania danych wrażliwych. Gawiedź głupia się cieszy że ma łatwiej.

  • guru133

    Oceniono 5 razy 3

    Właśnie dzisiaj, chociaż nie czytałem przed tym tego artykułu, odinstalowałem z innych powodów en szkodliwy program.

  • andrzej.duxa

    Oceniono 2 razy 2

    kogos to dziwi? po to tworzone sa te aplikacje i witryny-zeby zbierac dane i je sprzedawac, zarabia sie na tym spore pieniadze a popyt jest olbrzymi

  • dark.writer

    Oceniono 2 razy 2

    Już wiele, wiele lat temu (nie chcę kłamać, ale raczej przed 2010) widziałem w pewnym serwisie komputerowym kartkę z informacją, że nie zajmują się komputerami z avastem - albo jest zgoda na postawienie od nowa całego systemu bez avasta, albo oni nie przyjmują sprzętu do serwisu. Zapytałem o co chodzi. Powiedzieli, że od jakiegoś czasu avast zachowuje się więcej niż dziwnie. Facet powiedział - "nie wiem co to naprawdę jest za program i co robi".

  • oszrany

    Oceniono 4 razy 2

    Avast to badziewo ktore nie znajduje wirusow, dawno mowilem aby wywalic tego chwasta !

Aby ocenić zaloguj się lub zarejestrujX