De antivirus-app van Avast verkoopt "elke zoekopdracht", "elke klik", "elke aankoopinformatie op elke site die u bezoekt." Kopers zijn onder meer Home Depot, Google, Microsoft, Pepsi en McKinsey.
(gepubliceerd met afkortingen)
Een antivirusprogramma wordt door honderden miljoenen mensen over de hele wereld gebruikt en verkoopt persoonlijke browsegegevens aan veel van de grootste bedrijven ter wereld. Dit blijkt uit een gezamenlijk onderzoek door de portals Motherboard en PCMag. Het materiaal is gebaseerd op "gelekte" bedrijfsdocumenten die bewijzen dat het bedrijf dat eigenaar is van de antivirus, zeer vertrouwelijke gegevens verkoopt.
De documenten, eigendom van Jumpshot, een dochteronderneming van antivirusgigant Avast, werpen een nieuw licht op de verborgen geschiedenis van de verkoop van persoonlijke internetgegevens. Avast-antivirus die op de computer van een persoon is geïnstalleerd, verzamelt gegevens en Jumpshot 'herverpakt' deze in verschillende producten, die vervolgens worden verkocht aan veel van de grootste bedrijven ter wereld. De boodschappenlijst bevat giganten zoals Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit en nog veel meer. Sommige klanten hebben miljoenen dollars betaald voor producten met een zogenaamd 'all-click-kanaal', dat gebruikersgedrag, klikken en websitenavigatie met hoge nauwkeurigheid kan volgen.
Avast beweert meer dan 435 miljoen maandelijkse actieve gebruikers te hebben en Jumpshot verzamelt gegevens van 100 miljoen apparaten. Avast verzamelt gebruikersgegevens en verzendt deze vervolgens naar Jumpshot, maar verschillende Avast-gebruikers vertelden Motherboard dat ze niet wisten dat hun gegevens met derden werden gedeeld.
Volgens Motherboard en PCMag omvatten deze persoonlijke gegevens Google-zoekopdrachten, Google Maps-locaties en GPS-coördinaten, LinkedIn-pagina's, privé YouTube-video's en informatie over bezochte pornosites. Met behulp van de verzamelde datapool is het mogelijk om te bepalen wanneer een anonieme gebruiker YouPorn en PornHub heeft bezocht, en in sommige gevallen zelfs zoekopdrachten en specifieke video's bekeken.
Hoewel de datasets geen persoonlijke informatie zoals gebruikersnamen bevatten, bevatten ze toch veel specifieke data, en experts zeggen dat het niet zo moeilijk is om een bepaalde persoon die ze gebruikt, te deanonimiseren.
In een persbericht van juli beweert Jumpshot "het enige bedrijf te zijn dat een aantal geheimen prijsgeeft" en streeft het ernaar "marketeers te voorzien van een beter begrip van de online activiteiten van klanten". "Ze zijn zeer gedetailleerd en van groot belang voor kopers omdat ze zich op het niveau van het apparaat met een tijdstempel bevinden", aldus de bron van Motherboard, daarbij verwijzend naar de specifieke kenmerken en gevoeligheid van de gegevens die worden verkocht.
Promotie video:
Tot voor kort verzamelde Avast verkeersgegevens van klanten die een browserplug-in hadden geïnstalleerd die door het bedrijf was ontwikkeld om gebruikers te waarschuwen voor verdachte websites. Beveiligingsonderzoeker en maker van AdBlock Plus Vladimir Palant plaatste in oktober een blogpost waarin hij beweerde dat Avast gebruikersgegevens verzamelt met behulp van deze plug-in. Kort daarna verwijderden de browsermakers Mozilla, Opera en Google de Avast-extensies uit hun respectievelijke winkels. Avast legde deze gegevensverzameling en -deling eerder uit in een blog en forumbericht in 2015. Sindsdien is Avast naar verluidt gestopt met het verzenden van browsegegevens die door deze extensies zijn verzameld.
De gegevensverzameling gaat echter door, geven de bron en documenten aan. In plaats van informatie te verzamelen met software die is aangesloten op de browser, doet Avast dit met de antivirus zelf. Vorige week, maanden nadat het werd ontdekt met behulp van zijn browserextensies om gegevens naar Jumpshot te verzenden, begon Avast zijn antivirusklanten te vragen om gegevensverzameling toe te staan. "Als de gebruikers akkoord gaan, begint het apparaat alle online activiteiten van de klant op te nemen", zegt de interne producthandleiding.
Motherboard en PCMag hebben contact opgenomen met meer dan twintig bedrijven die in interne documenten worden vermeld. Er zijn maar weinig beantwoorde vragen over wat ze doen met gegevens op basis van de browsegeschiedenis van Avast-gebruikers.
“We gebruiken soms informatie van externe leveranciers om ons bedrijf, onze producten en diensten te verbeteren. We eisen dat deze leveranciers de juiste rechten hebben om deze informatie aan ons te verstrekken. In dit geval ontvangen we anonieme doelgroepgegevens die niet kunnen worden gebruikt om individuele klanten te identificeren”, aldus een woordvoerder van Home Depot via e-mail.
Microsoft weigerde commentaar te geven op de details van het verwerven van producten van Jumpshot, maar zei dat het geen voortdurende relatie met het bedrijf had. Een woordvoerder van Yelp schreef in een e-mail: “In 2018 werd het Yelp-team, als onderdeel van een antitrustverzoek om informatie, gevraagd om de impact van Google op de lokale zoekmachinemarkt te beoordelen. Jumpshot is in een keer gebruikt."
Southwest Airlines zei dat het een samenwerking met Jumpshot heeft besproken, maar geen overeenstemming heeft bereikt met het bedrijf. IBM zei dat het niet werkte met Jumpshot, en Altria zei dat het nu niet werkte met Jumpshot, hoewel het niet aangaf of het dat eerder deed. Sephora verklaarde dat dit niet werkt met Jumpshot. Google reageerde niet op een verzoek om commentaar.
Op zijn website en in persberichten noemt Jumpshot zowel Pepsi als de adviesgiganten Bain & Company en McKinsey als klanten.
Naast Expedia, Intuit en Loreal zijn er nog andere bedrijven die nog niet in de openbare aankondigingen van Jumpshot zijn genoemd: het koffiebedrijf Keurig, YouTube vidIQ en Hitwise, een consumentenonderzoeksbureau. Geen van deze bedrijven reageerde op een verzoek om commentaar.
Op zijn website somt Jumpshot enkele van de eerdere use-cases voor zijn gegevens op. Condé Nast gebruikte bijvoorbeeld Jumpshot-producten om te zien of de advertentie van een mediabedrijf leidde tot aankopen op Amazon en elders. Condé Nast reageerde niet op een verzoek om commentaar.
Jumpshot verkoopt verschillende producten op basis van gegevens die zijn verzameld door antivirussoftware van Avast die op de computers van gebruikers is geïnstalleerd. Klanten in de institutionele financiële sector kopen vaak kanalen van 10.000 domeinen die Avast-gebruikers bezoeken om trends te ontdekken, zegt de productgids.
Een ander Jumpshot-product is de zogenaamde "All Click Feed". Hierdoor kan de klant informatie kopen over alle klikken die Jumpshot heeft gezien op een specifiek domein, zoals Amazon.com, Walmart.com, Target.com, BestBuy.com of Ebay.com.
In een tweet die vorige maand werd gepost met als doel nieuwe klanten aan te trekken, merkte Jumpshot op dat hij “Elke zoekopdracht. Elke klik. Informatie over elke aankoop op elke site."
Jumpshot-gegevens kunnen laten zien dat iemand met Avast op zijn computer een product googelt, op een link klikt die naar Amazon leidt en vervolgens het item mogelijk aan zijn winkelwagentje op een andere website heeft toegevoegd voordat het uiteindelijk, koop een product.
Een van de bedrijven die All Clicks heeft overgenomen, is het in New York gevestigde marketingbedrijf Omnicom Media Group. Volgens het contract betaalde Omnicom Jumpshot $ 2.075.000 voor gegevenstoegang in 2019. De deal omvatte ook een ander product genaamd Insight Feed voor 20 verschillende domeinen. Datakosten in 2020 en vervolgens in 2021 worden aangegeven op respectievelijk $ 2.225.000 en $ 2.275.000, aldus het document.
Jumpshot gaf Omnicom toegang tot alle klikkanalen uit 14 verschillende landen over de hele wereld, waaronder de Verenigde Staten, Engeland, Canada, Australië en Nieuw-Zeeland. Het product bevat ook het beoogde geslacht van gebruikers "op basis van surfgedrag", hun geschatte leeftijd en "volledige URL-string", maar met verwijderde persoonlijk identificeerbare informatie (PII).
Omnicom reageerde niet op verschillende verzoeken om commentaar.
Contractueel wordt de "apparaat-ID" van elke gebruiker gehasht, wat betekent dat het bedrijf dat de gegevens koopt, niet hoeft te kunnen bepalen wie er precies achter elke weergave staat. In plaats daarvan zijn Jumpshot-producten bedoeld om bedrijven te helpen begrijpen welke producten bijzonder populair zijn of hoe effectief een advertentiecampagne is.
Maar Jumpshot-gegevens kunnen niet volledig anoniem zijn. In de interne producthandleiding staat dat apparaat-ID's niet voor elke gebruiker veranderen "tenzij de gebruiker de beveiligingssoftware volledig verwijdert en opnieuw installeert". Talrijke artikelen en wetenschappelijke studies hebben aangetoond dat het heel goed mogelijk is om mensen bloot te leggen met behulp van zogenaamde anonieme gegevens. In 2006 waren verslaggevers van de New York Times in staat om een specifieke persoon te identificeren uit een cache met zogenaamd anonieme zoekgegevens die AOL publiekelijk had vrijgegeven. Hoewel de geverifieerde gegevens meer gericht waren op links naar sociale media die Jumpshot bewerkte, ontdekte een onderzoek uit 2017 aan de Stanford University dat het mogelijk was om mensen online te identificeren op basis van anonieme gegevens.
Motherboard en PCMag stelden Avast een aantal gedetailleerde vragen over hoe het de anonimiteit van gebruikers beschermt, en vroegen ook om details over enkele van de contracten van het bedrijf. Avast beantwoordde de meeste vragen niet, maar gaf een verklaring af: "Door onze aanpak zorgen we ervoor dat Jumpshot geen persoonlijk identificeerbare informatie ontvangt, inclusief de naam, het e-mailadres of de contactgegevens van mensen die onze populaire gratis antivirussoftware gebruiken."
“Gebruikers hebben altijd de mogelijkheid gehad om zich af te melden voor communicatie met Jumpshot. Sinds juli 2019 zijn we al begonnen met het implementeren van expliciete keuzes voor alle nieuwe downloads van onze antivirus, en we vragen nu ook toestemming van onze bestaande gratis gebruikers - een proces dat in februari 2020 zal worden afgerond ”, zei een woordvoerder van Avast, eraan toevoegend dat het bedrijf voldoet aan de California Consumer Protection Act (CCPA) en de General European Data Protection Regulation (GDPR) voor het gehele wereldwijde gebruikersbestand.
"We hebben een lange geschiedenis in het beschermen van apparaten en gegevens van gebruikers tegen malware, en we begrijpen en nemen de verantwoordelijkheid serieus om de privacy van gebruikers in evenwicht te brengen met het noodzakelijke gebruik van gegevens", aldus de verklaring.
Toen een PCMag-journalist deze maand voor het eerst het antivirusproduct van Avast installeerde, vroeg het programma of hij wilde deelnemen aan de gegevensverzameling.
“Als u wilt, zullen wij onze dochteronderneming Jumpshot Inc. een speciale en geanonimiseerde dataset die is afgeleid van uw browsegeschiedenis, zodat Jumpshot markten en zakelijke trends kan analyseren en andere waardevolle inzichten kan verzamelen”, aldus het bericht. De pop-up gaf echter niet precies aan hoe Jumpshot deze gegevens gebruikt.
“De informatie is volledig geanonimiseerd en geaggregeerd en kan niet worden gebruikt voor persoonlijke identificatie. Jumpshot kan geaggregeerde informatie delen met zijn klanten”, voegde een pop-up toe.
Update: na de release van dit onderzoek heeft Avast aangekondigd dat het gegevensverzameling met Jumpshot opschort.
Door Joseph Cox
