Aplikasi antivirus Avast menjual "setiap carian," "setiap klik," "setiap pembelian di setiap laman web yang anda lawati." Pembeli termasuk Home Depot, Google, Microsoft, Pepsi, dan McKinsey.
(diterbitkan dengan singkatan)
Digunakan oleh ratusan juta orang di seluruh dunia, program antivirus menjual data pelayaran web peribadi kepada banyak syarikat terbesar di dunia. Ini dibuktikan dengan siasatan bersama oleh motherboard portal dan PCMag. Bahan tersebut didasarkan pada dokumen syarikat "bocor" yang membuktikan bahawa syarikat yang memiliki antivirus menjual data yang sangat sulit.
Dokumen-dokumen tersebut, yang dimiliki oleh Jumpshot, anak syarikat gergasi antivirus Avast, memberi penerangan baru mengenai sejarah tersembunyi penjualan data Internet peribadi. Antivirus Avast yang dipasang di komputer seseorang mengumpulkan data, dan Jumpshot "membungkus semula" ke dalam pelbagai produk, yang kemudian dijual kepada banyak syarikat terbesar di dunia. Senarai membeli-belah merangkumi syarikat gergasi seperti Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit dan banyak lagi. Sebilangan pelanggan telah membayar berjuta-juta dolar untuk produk yang merangkumi apa yang disebut "saluran semua klik", yang dapat melacak tingkah laku pengguna, klik, dan navigasi laman web dengan ketepatan tinggi.
Avast mendakwa mempunyai lebih daripada 435 juta pengguna aktif bulanan dan Jumpshot mengumpulkan data dari 100 juta peranti. Avast mengumpulkan data pengguna dan kemudian menyerahkannya ke Jumpshot, tetapi beberapa pengguna Avast memberitahu Motherboard bahawa mereka tidak menyedari data mereka dikongsi dengan pihak ketiga.
Menurut Motherboard dan PCMag, data peribadi ini termasuk carian Google, lokasi Peta Google dan koordinat GPS, halaman LinkedIn, video YouTube peribadi, dan maklumat mengenai laman web pornografi yang dikunjungi. Dengan menggunakan kumpulan data yang dikumpulkan, adalah mungkin untuk menentukan kapan pengguna tanpa nama telah mengunjungi YouPorn dan PornHub, dan dalam beberapa kes, bahkan carian dan video tertentu yang ditonton.
Walaupun set data tidak merangkumi maklumat peribadi seperti nama pengguna, namun data tersebut masih mengandungi banyak data tertentu, dan para pakar mengatakan bahawa tidak sukar untuk melucutkan nama orang yang menggunakannya.
Dalam siaran akhbar yang dikeluarkan pada bulan Julai, Jumpshot mengaku sebagai "satu-satunya syarikat yang mengungkapkan sejumlah rahsia," dan berkomitmen untuk "memberikan pemasar pemahaman yang lebih mendalam mengenai aktiviti dalam talian pelanggan." "Mereka sangat terperinci dan sangat menarik bagi pembeli kerana mereka berada di tingkat perangkat dengan cap waktu," komentar sumber Motherboard, mengutip spesifikasi dan kepekaan data yang dijual.
Video promosi:
Sehingga baru-baru ini, Avast mengumpulkan data lalu lintas dari pelanggan yang memasang pemalam penyemak imbas yang dikembangkan oleh syarikat untuk memberi amaran kepada pengguna mengenai laman web yang mencurigakan. Penyelidik keselamatan dan pencipta AdBlock Plus, Vladimir Palant, menyiarkan catatan blog pada bulan Oktober dengan mendakwa bahawa Avast mengumpulkan data pengguna menggunakan pemalam. Tidak lama selepas itu, pembuat penyemak imbas Mozilla, Opera dan Google mengeluarkan sambungan Avast dari kedai masing-masing. Avast sebelum ini menjelaskan pengumpulan dan perkongsian data ini dalam catatan blog dan forum pada tahun 2015. Sejak itu, Avast didakwa berhenti menghantar data penyemakan imbas yang dikumpulkan oleh pelanjutan ini.
Walau bagaimanapun, pengumpulan data berterusan, sumber dan dokumen menunjukkan. Daripada mengumpulkan maklumat menggunakan perisian yang disambungkan ke penyemak imbas, Avast melakukannya dengan menggunakan antivirus itu sendiri. Minggu lalu, beberapa bulan setelah ia ditemui menggunakan pelanjutan penyemak imbasnya untuk mengirim data ke Jumpshot, Avast mula meminta pelanggan antivirus untuk mengizinkan pengumpulan data. "Sekiranya pengguna setuju, peranti akan mula merekod semua aktiviti dalam talian pelanggan," kata manual produk dalaman.
Motherboard dan PCMag menghubungi lebih daripada dua dozen syarikat yang disebut dalam pemfailan dalaman. Tidak banyak yang menjawab soalan mengenai apa yang mereka lakukan dengan data berdasarkan sejarah penyemakan imbas pengguna Avast.
“Kadang kala kami menggunakan maklumat dari penyedia pihak ketiga untuk membantu meningkatkan perniagaan, produk dan perkhidmatan kami. Kami menghendaki pembekal ini mempunyai hak yang sesuai untuk memberikan maklumat ini kepada kami. Dalam kes ini, kami menerima data penonton tanpa nama yang tidak dapat digunakan untuk mengenal pasti pelanggan individu,”kata jurucakap Home Depot melalui e-mel.
Microsoft enggan mengulas mengenai spesifik memperoleh produk dari Jumpshot, tetapi mengatakan ia tidak mempunyai hubungan yang berterusan dengan syarikat itu. Seorang jurucakap Yelp menulis dalam e-mel: “Pada tahun 2018, sebagai bagian dari permintaan antimonopoli untuk mendapatkan maklumat, tim Yelp diminta untuk menilai dampak Google terhadap pasaran mesin pencari tempatan. Jumpshot digunakan pada satu masa."
Southwest Airlines mengatakan telah membincangkan kerjasama dengan Jumpshot tetapi belum mencapai persetujuan dengan syarikat itu. IBM mengatakan bahawa ia tidak berfungsi dengan Jumpshot, dan Altria mengatakan bahawa ia tidak berfungsi dengan Jumpshot sekarang, walaupun ia tidak menunjukkan apakah ia melakukannya sebelum ini. Sephora menyatakan bahawa ini tidak berfungsi dengan Jumpshot. Google tidak menjawab permintaan untuk memberi komen.
Di laman webnya dan dalam siaran akhbar, Jumpshot menamakan Pepsi serta syarikat raksasa rundingan Bain & Company dan McKinsey sebagai pelanggan.
Sebagai tambahan kepada Expedia, Intuit dan Loreal, syarikat lain yang belum ditampilkan dalam pengumuman umum Jumpshot termasuk syarikat kopi Keurig, YouTube vidIQ, dan Hitwise, sebuah firma penyelidikan pengguna. Tidak ada syarikat yang menjawab permintaan untuk memberi komen.
Di laman webnya, Jumpshot menyenaraikan beberapa kes penggunaan sebelumnya untuk datanya. Sebagai contoh, Condé Nast menggunakan produk Jumpshot untuk melihat apakah iklan syarikat media menyebabkan pembelian di Amazon dan di tempat lain. Condé Nast tidak menanggapi permintaan untuk memberi komen.
Jumpshot menjual pelbagai produk berdasarkan data yang dikumpulkan oleh perisian antivirus Avast yang dipasang di komputer pengguna. Pelanggan di sektor kewangan institusi sering membeli saluran dari 10,000 domain yang dikunjungi pengguna Avast untuk mencuba trend, kata panduan produk.
Produk Jumpshot yang lain adalah "Umpan Semua Klik". Ini membolehkan pelanggan membeli maklumat mengenai semua klik yang dilihat Jumpshot pada domain tertentu seperti Amazon.com, Walmart.com, Target.com, BestBuy.com, atau Ebay.com.
Dalam tweet yang disiarkan bulan lalu dengan tujuan menarik pelanggan baru, Jumpshot menyatakan bahawa dia mengumpulkan "Setiap carian. Setiap klik. Maklumat mengenai setiap pembelian di setiap laman web."
Data Jumpshot mungkin menunjukkan seseorang dengan Avast terpasang di komputer mereka untuk mencari produk, mengklik pada pautan yang menuju ke Amazon, dan kemudian mungkin menambahkan item tersebut ke troli mereka di laman web lain sebelum akhirnya, beli produk.
Salah satu syarikat yang memperoleh All Clicks adalah firma pemasaran Omnicom Media Group yang berpusat di New York. Di bawah kontrak itu, Omnicom membayar Jumpshot $ 2,075,000 untuk akses data pada tahun 2019. Perjanjian itu juga merangkumi produk lain yang disebut Insight Feed untuk 20 domain yang berbeza. Caj data pada tahun 2020 dan kemudian pada tahun 2021 ditunjukkan masing-masing pada $ 2,225,000 dan $ 2,275,000, kata dokumen itu.
Jumpshot memberi Omnicom akses ke semua saluran klik dari 14 negara yang berlainan di seluruh dunia, termasuk Amerika Syarikat, England, Kanada, Australia dan New Zealand. Produk ini juga merangkumi jenis kelamin pengguna yang dimaksudkan "berdasarkan tingkah laku melayari", anggaran usia mereka dan "keseluruhan rentetan URL", tetapi dengan maklumat peribadi (PII) yang dihapus.
Omnicom tidak menjawab beberapa permintaan untuk komen.
Secara kontrak, "ID peranti" setiap pengguna dicincang, yang bermaksud bahawa syarikat yang membeli data tidak harus dapat menentukan siapa sebenarnya yang berada di belakang setiap paparan. Sebaliknya, produk Jumpshot diharapkan dapat membantu syarikat memahami produk mana yang sangat popular atau seberapa berkesan kempen iklan.
Tetapi data Jumpshot tidak boleh dinamakan sepenuhnya. Manual produk dalaman menyatakan bahawa ID peranti tidak berubah untuk setiap pengguna "melainkan jika pengguna mencopot pemasangan sepenuhnya dan memasang semula perisian keselamatan." Banyak artikel dan kajian ilmiah menunjukkan bahawa sangat mungkin untuk mendedahkan orang yang menggunakan data tanpa nama. Pada tahun 2006, wartawan New York Times dapat mengenal pasti orang tertentu dari cache data carian kononnya tanpa nama yang dikeluarkan oleh AOL secara terbuka. Walaupun data yang disahkan lebih tertumpu pada pautan media sosial yang diedit oleh Jumpshot, satu kajian tahun 2017 di Universiti Stanford mendapati bahawa mungkin untuk mengenal pasti orang dari data tanpa nama dalam talian.
Motherboard dan PCMag bertanya kepada Avast beberapa soalan terperinci mengenai bagaimana ia melindungi anonimitas pengguna, dan juga meminta perincian mengenai beberapa kontrak syarikat. Avast tidak menjawab kebanyakan pertanyaan, tetapi mengeluarkan pernyataan: "Melalui pendekatan kami, kami memastikan bahawa Jumpshot tidak menerima maklumat yang dapat dikenal pasti secara peribadi, termasuk nama, alamat e-mel atau maklumat hubungan orang yang menggunakan perisian antivirus percuma kami yang popular."
"Pengguna selalu mempunyai pilihan untuk memilih untuk tidak berkomunikasi dengan Jumpshot. Mulai Julai 2019, kami sudah mulai menerapkan pilihan eksplisit untuk semua muat turun baru antivirus kami, dan kami sekarang juga meminta persetujuan dari pengguna bebas kami yang ada - proses yang akan diselesaikan pada Februari 2020, "kata seorang jurucakap Avast, sambil menambah bahawa syarikat itu mematuhi Akta Perlindungan Pengguna California (CCPA) dan Peraturan Perlindungan Data Umum Eropah (GDPR) untuk keseluruhan pangkalan pengguna globalnya.
"Kami mempunyai sejarah panjang untuk melindungi peranti pengguna dan data dari perisian hasad, dan kami memahami dan memandang serius tanggungjawab untuk menyeimbangkan privasi pengguna dengan penggunaan data yang diperlukan," kata pernyataan itu.
Ketika wartawan PCMag pertama kali memasang produk antivirus Avast bulan ini, program bertanya apakah dia ingin turut serta dalam pengumpulan data.
Sekiranya anda mahu, kami akan memberikan anak syarikat kami Jumpshot Inc. set data khusus dan tidak dikenal pasti yang berasal dari sejarah penyemakan imbas anda sehingga Jumpshot dapat menganalisis pasaran dan trend perniagaan dan mengumpulkan pandangan berharga lain,”kata pesan itu. Walau bagaimanapun, pop timbul tidak memperincikan dengan tepat bagaimana Jumpshot menggunakan data ini.
Maklumat itu sepenuhnya tidak dikenal pasti dan digabungkan, tidak boleh digunakan untuk pengenalan diri. Jumpshot dapat berkongsi maklumat agregat dengan pelanggannya,”tambah pop timbul.
Kemas kini: Setelah dikeluarkannya penyiasatan ini, Avast mengumumkan bahawa ia menangguhkan pengumpulan data menggunakan Jumpshot.
Oleh Joseph Cox
