Antywirus Avast sprzedawał anonimowe dane użytkowników. Program wiedział o nas naprawdę dużo

Bartłomiej Pawlak
Antywirus Avast gromadził dokładne dane na temat swoich użytkowników, a następnie sprzedawał wielkim firmom za miliony dolarów - donoszą serwisy PCMag i Vice. Program miał zadziwiająco wiele informacji na temat naszych poczynań w internecie. Avast broni się, że sprzedawał tylko te, których nie można powiązać z konkretną osobą.
Zobacz wideo

O Avast Software (producencie programu Avast Antivirus) w kontekście ochrony prywatności zrobiło się głośno już w grudniu 2019 roku. Informowaliśmy wtedy, że Google, Mozilla i Opera usunęły ze swoich przeglądarek rozszerzenia Avasta. Dyrektor wykonawczy Avast przyznał się bowiem, że firma zbiera i udostępnia firmom trzecim dane swoich użytkowników zebrane za pomocą przeglądarkowych wtyczek.

Podkreślił jednak, że są to "zbiorcze" dane "pozbawione danych identyfikacyjnych" i nie da się ich wykorzystać do "zidentyfikowania konkretnej osoby" ani "targetowania użytkownika". Miały być przekazywane firmom zewnętrznym np. w celu badania rynkowych trendów.

Afery ciąg dalszy. Avast handluje naszymi danymi 

W reakcji na te doniesienia dziennikarskie śledztwo w sprawie działań Avasta przeprowadziły wspólnie serwisy PC Magazine i Vice (Motherboard). Jak donoszą, pomimo że firma zobowiązała się zaprzestać zbierania danych z rozszerzeń w przeglądarkach, w dalszym ciągu takie dane zdobywa (prawdopodobnie za pomocą samego antywirusa). Co więcej, są one na tyle precyzyjne, że w praktyce mogą pozwolić na przypisanie ich do konkretnej osoby.

Jak wskazują serwisy, Avast stworzył całą machinę handlującą danymi użytkowników. Spółka-córka firmy, która odpowiedzialna jest za proceder, nazywa się Jumpshot i oferuje dostęp do danych zebranych od 100 mln internautów. 

Oto one - niezwykle szczegółowe dane od 100 milionów ogólnoświatowych użytkowników i 20 milionów użytkowników aplikacji. Przeanalizuj je, jakkolwiek zechcesz: sprawdź, czego użytkownicy szukali, jak reagowali na konkretne marki lub produkty i co kupowali. Szukaj po kategorii, kraju lub domenie

- tak swoje usług zachwala Jumpshot.

Problem w tym, że dane, które Jumpshot oferuje, są niezwykle precyzyjne. Klienci firmy mogą sprawdzić, w co konkretnie klikali internauci i kiedy. Kliknięcia są ułożone chronologicznie i datowane z dokładnością do milisekundy. Przykładowy pojedynczy wpis z bazy, który udostępnił PCMag, wygląda tak:

Przykładowy wpis udostępniony przez PCMagPrzykładowy wpis udostępniony przez PCMag fot. screen ze strony pcmag.com / PCMag

Hipotetycznie, mając taki rekord, Amazon mógłby sprawdzić, kto konkretnie 1 grudnia 2019 o godzinie 12:03:05 kupił iPada Pro 10.5 2017. Prawdopodobieństwo, że dwie osoby kupiły identyczny produkt w tej samej milisekundzie, jest znikome, dlatego Amazon, korzystając z pozostałych danych od Jumpshot, mógłby łatwo dowiedzieć się, co wcześniej (lub później) robiła w internecie ta sama osoba. I to nie tylko na stronie tego konkretnego sklepu, lecz także w ogóle.

Po drugie rekord zawiera identyfikator urządzenia (abc123x), który istnieje tak długo, jak długo na komputerze zainstalowany jest antywirus Avast. Co prawda identyfikator nie jest powiązany z imieniem i nazwiskiem, adresem IP czy adresem e-mail, jednak jak tłumaczy PCMag, jeśli Jumpshot zapisał jakiekolwiek inne kliknięcia z tego samego urządzenia, można je ze sobą powiązać, tworząc chronologiczną historię przeglądania sieci z tego konkretnego komputera lub smartfona. Nie będzie to łatwe, ale teoretycznie można wtedy dowiedzieć się, kim jest dany użytkownik (np. łącząc te dane z informacjami z innych źródeł).

Może same dane (Jumpshot) nie identyfikują ludzi. Może to tylko lista zaszyfrowanych identyfikatorów użytkowników i adresów URL. Ale zawsze można je połączyć z danymi od innych marketerów, innych reklamodawców, którzy w zasadzie mogą dotrzeć do prawdziwej tożsamości

- mówi Gunes Acar, badacz ds. prywatności w sieci cytowany przez PCMag.

 

Jakie dane zbierał Avast?

Okazuje się też, że Avast miał na nasz temat szokująco wiele informacji. W zależności od "pakietu", który oferuje Jumpshot, można przeglądać wspomnianą już historię przeglądania w internecie, zapytania w Google, szukane lokalizacje w Mapach Google, listę oglądanych filmów na YouTube, Facebooku i Instagramie, profili na LinkedIn, a nawet dokładną historię przeglądanych stron pornograficznych. Jak tłumaczy Vice, w niektórych przypadkach dało się nawet określić, kiedy jaki konkretnie film został odtworzony i po jakim haśle (w wyszukiwarce) go znaleziono.

W ofercie Jumpshot znalazł się także "All Clicks Feed", czyli zbiór wszystkich kliknięć. W ramach umowy z grudnia 2018 roku korzystała z niego firma Omnicom Media Group, która dostawała dane ze wspomnianymi wcześniej identyfikatorami urządzeń, choć zwykle "All Clicks Feed" jest sprzedawany bez takich identyfikatorów. Za kontrakt na dane dostarczane przez trzy lata musiała zapłacić sześć i pół mln dolarów.

JumpshotJumpshot fot. screen ze strony Jumpshot (https://www.jumpshot.com/)

Co ciekawe, z usług Jumpshot korzystały również świetnie znane firmy takie jak Nestle, Pepsi, Expedia, Loreal, TripAdvisor, Yelp czy McKinsey & Company. Sam Jumpshot twierdzi, że współpracował również z Google, Microsoftem i IBM, ale dwie ostatnie firmy temu zaprzeczają (Google nie odpowiedział na pytania PCMag). Można podejrzewać, że inne firmy za dostarczane dane również musiały zapłacić miliony dolarów.

Nie ma sensu wpadać w panikę

Warto jednak uspokoić osoby szczególnie wrażliwe na punkcie własnej prywatności. Identyfikacja konkretnego użytkownika, chociaż w teorii możliwa, jest bardzo uciążliwa i mało prawdopodobne, aby jakikolwiek klient Jumpshot zadawał sobie tak wiele trudu, aby namierzyć przypadkowego Kowalskiego. Dla chcących są zresztą inne sposoby, aby to zrobić.

Po drugie, wspomniane wyżej marki raczej nie interesowały się danymi o konkretnych osobach, ale statystykami. To dzięki nim można sprawdzić, jakie produkty stają się coraz popularniejsze i jak internauci reagują na widok logo konkretnej marki. Można też zbadać wpływ kampanii reklamowych na liczbę złożonych zamówień, itp. Możliwości jest dość sporo i z tej perspektywy wydają się zupełnie niegroźne.

Sami się na to zgodziliśmy

Dane Jumpshot pochodzą od 100 mln użytkowników, a Avast ma ich 435 mln. To oznacza, że tylko (albo aż) niespełna 1/4 osób zgodziło się na śledzenie swoich poczynań w internecie. Tak, Avast podczas instalacji prosi użytkowników o to, aby przekazali swoje dane.

Instalator Avast - do lipca 2019 na zbieranie danych zgodzić się trzebaInstalator Avast - do lipca 2019 na zbieranie danych zgodzić się trzeba fot. dzięki uprzejmości Niebezpiecznik.pl

Program robił to już w instalatorze, na stronie zatytułowanej "Please Don't Skip This - Read it Carefully" (prosimy, nie pomijaj tego - przeczytaj to uważnie). W treści Avast informował, że będzie zbierał dane o użytkownikach i dzielił się nimi z podmiotami trzecimi. Niestety, zgoda była wymuszona, bo był to jeden z warunków, aby w ogóle zainstalować antywirusa (zmienić można było to dopiero później w ustawieniach). Można powiedzieć, że firma wymyśliła sobie takę formę zapłaty za darmowy program.

Avast na szczęście zauważył, że takie wymuszanie zgody nie jest niczym dobrym, dlatego (dopiero) w lipcu 2019 roku zmienił taktykę i pozwolił nie zgodzić się na zbieranie danych już na etapie instalacji. Mimo wszystko użytkownicy (teoretycznie) powinni być świadomi, że instalując Avasta, mogą przekazywać dane o swojej aktywności w sieci. Firma obiecała zakończyć proceder w lutym 2020 roku:

Użytkownicy zawsze mieli możliwość zrezygnowania z dzielenia się danymi z Jumpshot. Od lipca 2019 r. zaczęliśmy już wdrażać wyraźny wybór opcji [zgody lub rezygnacji z udostępniania danych - przyp. red.] we wszystkich nowych instalacjach naszego AV (antywirusa), a teraz zachęcamy również naszych obecnych darmowych użytkowników do dokonywania wyraźnego wyboru, proces ten zostanie zakończony w lutym 2020 r.

- informuje Avast cytowany przez PCMag.