Avast nařídil zastavit prodej dat o prohlížení ze svých aplikací pro ochranu soukromí při prohlížení

Avast, jméno známé svým bezpečnostním výzkumem a antivirovými aplikacemi, již dlouho nabízí rozšíření pro Chrome, mobilní aplikace a další nástroje zaměřené na zvýšení soukromí.

Aplikace Avastu by „blokovaly otravné sledovací soubory cookie, které shromažďují data o vašich aktivitách při procházení webu“ a bránily by webovým službám „sledovat vaši online aktivitu“. Avast ve svých zásadách ochrany soukromí uvedl, že informace, které shromáždí, budou „anonymní a souhrnné“. nejdivočejší rétorika, desktopový software Avastu tvrdil, že zastaví „hackery vydělávat peníze na vašem vyhledávání“.

Veškerý tento jazyk byl nabídnut, když Avast v letech 2014 až 2020 shromažďoval informace o prohlížečích uživatelů a poté je prodával více než 100 dalším společnostem prostřednictvím od té doby zaniklé entity známé jako Jumpshot , podle Federal Trade Commission. Podle navrhovaného nedávného příkazu FTC (PDF) musí Avast zaplatit 16,5 milionu dolarů, což se podle FTC „očekává, že bude použito k nápravě spotřebitelů“ . Avast bude mít také zakázáno prodávat budoucí data procházení, musí získat výslovný souhlas s budoucím shromažďováním dat, informovat zákazníky o předchozím prodeji dat a implementovat „komplexní program ochrany osobních údajů“ k řešení předchozího chování.

Společnost Avast, kterou jsme obdrželi k vyjádření, poskytla prohlášení, které poznamenalo, že společnost Jumpshot ukončila začátkem roku 2020. „Jsme oddáni našemu poslání chránit a posilovat digitální životy lidí. I když nesouhlasíme s obviněními FTC a charakterizací faktů, jsme rádi, že můžeme tuto záležitost vyřešit a těšíme se, že budeme i nadále sloužit našim milionům zákazníků po celém světě,“ stojí v prohlášení.

Data zdaleka nebyla anonymní

Stížnost FTC (PDF) poznamenává, že poté, co Avast počátkem roku 2014 získal tehdejšího antivirového konkurenta Jumpshot, přejmenoval společnost na prodejce analytických služeb. Jumpshot inzeroval, že nabízí „jedinečné vhledy“ do zvyků „[víc] než 100 milionů online spotřebitelů po celém světě“. To zahrnovalo možnost „[vi]vidět, kam vaše publikum míří před a poté, co navštíví váš web nebo vaši stránky konkurentů a dokonce sledovat ty, kteří navštíví konkrétní URL.“

Zatímco Avast a Jumpshot tvrdily, že z dat byly odstraněny identifikační údaje, FTC tvrdí, že to „nebylo dostačující“. Nabídky Jumpshot zahrnovaly jedinečný identifikátor zařízení pro každý prohlížeč, který je součástí dat, jako je „zdroj všech kliknutí“, „zdroj kliknutí Search Plus“. „Transaction Feed“ a další. Stížnost FTC podrobně popsala, jak by různé společnosti nakupovaly tyto zdroje, často s výslovným účelem spárovat je s vlastními daty společnosti, až po individuální uživatele. Některé smlouvy Jumpshot se pokoušely zakázat opětovnou identifikaci uživatelů Avastu, ale „tyto zákazy byly omezené,“ uvádí stížnost.

Spojení mezi Avastem a Jumpshotem se stalo široce známým v lednu 2020 poté, co zprávy Vice a PC Magazine odhalily, že klienti, včetně Home Depot, Google, Microsoft, Pepsi a McKinsey, kupovali data od Jumpshot, jak je vidět v důvěrných smlouvách. Data získaná publikacemi ukázala, že kupující si mohli zakoupit data včetně vyhledávání v Mapách Google, jednotlivých stránek LinkedIn a YouTube, porno stránek a dalších. „Je to velmi podrobné a pro tyto společnosti jsou to skvělá data, protože jsou až na úrovni zařízení s časovým razítkem,“ řekl jeden zdroj Vice.

Stížnost FTC poskytuje více podrobností o tom, jak se Avast na svých vlastních webových fórech snažil bagatelizovat svou přítomnost Jumpshot. Avast navrhl, že Jumpshotu byla poskytnuta pouze neagregovaná data a že uživatelé byli během instalace produktu informováni o shromažďování dat, aby „lépe porozuměli novým a zajímavým trendům“. Ani jedno z těchto tvrzení se nepotvrdilo, navrhuje FTC. A shromážděná data nebyla vzhledem k jejich znovu identifikovatelné povaze ani zdaleka neškodná:

Například vzorek pouhých 100 záznamů z bilionů zadržených respondenty
ukázal návštěvy spotřebitelů na následujících stránkách: akademická práce o studii příznaků
rakoviny prsu; oznámení o prezidentské kandidatuře senátorky Elizabeth Warrenové; kurz CLE
o daňových výjimkách; vládní místa ve Fort Meade, Maryland s platem vyšším než
100 000 $; odkaz (pak přerušený) na střed žádosti FAFSA (finanční pomoc);
trasy v Mapách Google z jednoho místa na druhé; video na YouTube pro děti ve španělštině
; odkaz na francouzskou seznamku, včetně jedinečného ID člena; a cosplay
erotika.

V blogovém příspěvku doprovázejícím toto oznámení FTC Senior Attorney Lesley Fair píše, že kromě dvojí povahy produktů ochrany osobních údajů Avastu a rozsáhlého sledování Jumpshot FTC stále více pohlíží na data procházení jako na „vysoce citlivé informace, které vyžadují maximální péči“. „Údaje o webových stránkách, které člověk navštíví, nejsou jen dalším firemním aktivem otevřeným neomezenému komerčnímu využití,“ píše Fair.

Komisaři FTC hlasovali 3:0 pro podání stížnosti a přijetí navrhované dohody o souhlasu. Předsedkyně Lina Khan spolu s komisaři Rebeccou Slaughter a Alvaro Bedoyou vydala prohlášení o svém hlasování.

Od doby stížnosti FTC a jejího podnikání Jumpshot byl Avast koupen společností Gen Digital , která mimo jiné zahrnuje Norton, Avast, LifeLock, Avira, AVG, CCLeaner a ReputationDefender.

Zveřejnění: Condé Nast, mateřská společnost Ars Technica, obdržela data od Jumpshot před svým uzavřením.