Ugrožavanje privatnosti

Procureli dokumenti otkrivaju tajno tržište za podatke vaše veb pretrage

Ćerka firma Avast anitivirusa prodaje ’Svaku pretragu. Svaki klik. Svaku kupovinu. Na svakom sajtu’. Njeni klijenti uključuju Houm Dipo, Gugl, Majkrosoft, Pepsi i Mekinsi.

pisao Joseph Cox
31 Januar 2020, 9:00am

Ilustracija: Hanter Frenč

Antivirusni program koji koriste stotine miliona ljudi širom sveta prodaje veoma osetljive podatke o pretrazi na internetu mnogima od najvećih svetskih kompanija, otkriva zajednička istraga Motherboard-a i PCMag-a. Naš izveštaj zasniva se na procurelim podacima korisnika, ugovorima i drugim dokumentima kompanija koji pokazuju da je prodaja ovih podataka veoma osetljiva, i koji bi u mnogim slučajevima trebalo da ostanu poverljivi između kompanija koje prodaju podatke i klijenata koji ih kupuju.

Dokumenti koji dolaze iz pomoćne kompanije antivirusnog giganta Avasta pod nazivom Džampšot, bacaju novu svetlost na tajni lanac prodaje i obezbeđivanja istorijata pretrage korisnika interneta. Oni pokazuju da Avastov antivirus program instaliran na nečijem kompjuteru prikuplja podatke, i da ih Džampšot prepakuje u različite proizvode koje onda prodaje mnogim od najvećih kompanija na svetu. Među bivšim, sadašnjim i potencijalnim klijentima nalaze se Gugl, Jelp, Mikrosoft, Mekinsi, Pepsi, Houm Dipo, Konde Nast, Intuit, kao i mnogi drugi. Neki klijenti su platili milione dolara za proizvod koji uključuje takzovani „All Clicks Feed“, koji može da prati ponašanje, klikove i kretanje po sajtovima korisnika, do veoma preciznih detalja.

Avast tvrdi da ima više od 435 miliona aktivnih korisnika mesečno, a Džampšot kaže da ima podatke 100 miliona uređaja. Avast prikuplja podatke od korisnika koji mu se priključe, i onda ih prosleđuje Džampšotu, ali više Avastovih korisnika je za Motherboard reklo da nisu bili svesni da Avast prodaje podatke o pretragama, što dovodi u pitanje koliko su bili obavešteni pre nego što su dali saglasnost.

Podaci koje su prikupili Motherboard i PCMag uključuju Gugl pretrage, traženje lokacija i GPS koordinata na Gugl Maps, posete LinkedIn stranicama različitih kompanija, video snimke na Jutjubu, kao i posete porno sajtovima. Po prikupljenim podacima je moguće videti kojeg datuma i u koje vreme je neki anonimni korisnik posetio YouPorn i PornHub, a u nekim slučajevima, koji termin za pretragu je ukucao u pretraživač porno sajta, i koji tačno video je gledao.

Iako podaci ne uključuju lične informacije, kao što su imena korisnika, i dalje sadrže mnoštvo specifičnih podataka o pretragama, i stručnjaci kažu da bi identitet određenih korisnika mogao da bude otkriven.

U saopštenju za štampu iz jula, Džampšot tvrdi da je „jedina kompanija koja otključava vrata podataka“ i da želi da „oglašivačima obezbedi veću vidljivost tokom čitavog putovanja konzumenata po internetu“. Džampšot je ranije javno govorio o nekim svojim klijentima. Ali druge kompanije koji se pominju u dokumentima Džampšota uključuju Ekspediju, IBM, Intuit, TurboTaks, Loreal i Houm Depo. Zaposlenima je naloženo da ne govore javno o Džampšotovim vezama sa ovim kompanijama.

„Sve je veoma usitnjeno, i to su sjajni podaci za te kompanije, zato što je sve na nivou uređaja i vremenske odrednice“, kaže izvor, govoreći o specifičnosti i osetljivosti podataka koji se prodaju. Motherboard je izvoru garantovao anonimnost, da bi mogao otvorenije da govori o Džampšotovim procesima.

Do nedavno, Avast je prikupljao podatke o pretrazi svojih korisnika koji su instalirali pretraživač kompanije, koji je dizajniran tako da upozorava korisnike na opasne sajtove. Istraživač bezbednosti i tvorac AdBlock Plusa Vladimir Palant je u oktobru objavio post na blogu u kome pokazuje da Avastov tim plag-inom prikuplja podatke korisnika. Ubrzo potom, tvorci pretraživača Mozila, Opera i Gugl su uklonili ekstenzije Avasta i njegove potkompanije AVG iz svojih radnji za ekstenzije pretraživača. Avast je ranije objasnio ovo prikupljanje i deljenje podataka u blogu i na forumu 2015. Avast je od tada prestao Džampšotu da šalje podatke o pretragama koje prikupljaju ove ekstenzije, kaže Avast u izjavi za Motherboard i PCMag.

1580086523070-avastdata
Infografika koja pokazuje lanac nabavke podataka o pretragama sa avasta, preko džampšotovih klijenata. Ilustracija: Motherboard

Međutim, prikupljanje podataka je i dalje u toku, na šta ukazuju razni izvori i dokumenti. Umesto da prikuplja informacije preko softvera povezanog sa pretraživačem, Avast to čini preko samog antivirusnog softvera. Prošle nedelje, mesecima nakon što je primećeno da koristi softverske ekstenzije za slanje podataka Džampšotu, Avast je počeo da pita svoje postojeće mušterije koje antivirusni program koriste besplatno da se odluče za prikupljanje podataka, prema jednom internom dokumentu.

„Ako pristanu, njihov uređaj postaje deo Džampšotovog Panela, i sva aktivnost na internetu vezana za pretraživače se prijavljuje Džampšotu“, piše u internom priručniku. „Koje URL-ove ovi uređaji posećuju, kojim redosledom i kada?“, dodaje se u njemu, sumirajući na koja pitanja bi ovaj proizvod mogao da da odgovor.

Senator Ron Vajden, koji je u decembru pitao Avast zašto prodaje podatke o pretragama korisnika, kaže u izjavi, „Ohrabruje to što je Avast prestao sa nekim od zabrinjavajućih praksi, nakon konstruktivne saradnje sa mojom kancelarijom. Međutim, zabrinut sam zbog toga što se Avast još nije posvetio brisanju podataka korisnika koje je prikupio i delio bez saglasnosti svojih korisnika, niti je prestao da prodaje osetljive podatke pretrage na internetu. Jedini odgovoran postupak je da od sada pa nadalje budu potpuno transparentni prema mušterijama, i da unište podatke koji su u prošlosti prikupljeni pod sumnjivim uslovima“.

Uprkos tome što Avast trenutno pita korisnike za saglasnost za prikupljanje podataka, preko pop-apa u antivirusnom softveru, brojni korisnici Avasta su rekli da ne znaju da Avast prodaje podatke o njihovim pretragama.

„Nisam bio svestan toga“, kaže za Motherboard Kit, korisnik Avastovog antivirusnog proizvoda, koji nije želeo da njegovo prezime bude objavljeno. „To zvuči zastrašujuće. Obično ne odbijam praćenje podataka“, kaže on, dodajući da još nije video Avastov novi pop-ap za saglasnost.

„Nisam znao da to rade L“, kaže u direktnoj Tviter poruci još jedan korisnik Avasta.

Motherboard i PCMag su kontaktirali preko dvadeset kompanija koje se pominju u internim dokumentima. Samo par njih je odgovorilo na pitanje šta rade sa podacima zasnovanim na istorijatu pretrage korisnika Avasta.

„Ponekad koristimo informacije koje obezbeđuje treća strana, da bismo unapredili posao, proizvode i usluge. Od onih koji nam ih obezbeđuju zahtevamo da imaju odgovarajuća prava da te informacije dele s nama. U ovom slučaju, dobijamo anonimne podatke, koji ne mogu da se koriste za identifikovanje individualnih mušterija“, kaže portparol Houm Depoa u izjavi poslatoj mejlom.

Mikrosoft je odbio da komentariše pojedinosti o tome zašto je kupovao proizvode od Džampšota, ali kaže da trenutno nema saradnju sa tom kompanijom. Jelpov portparol je u mejlu napisao, „2018. godine, u sklopu zahteva nadležnih službi za poverljivost informacija, od Jelpovog tima za politiku je bilo traženo da proceni uticaj Guglovog monopolskog ponašanja po pitanju lokalnih tržišta pretrage. Džampšot je angažovan jednokratno, da generiše izveštaj o anonimnim podacima o najvećim trendovima, koji su potkrepili druge procene da Gugl isisava saobraćaj sa mreže. Nikakvi lični podaci nisu bili traženi, niti im je bilo pristupljeno“

"Svaka pretraga. Svaki klik. Svaka kupovina. Na svakom sajtu."

Sautvest Erlajns kaže da je bilo diskusija sa Džampšotom, ali da sa ovom kompanijom nije bio postignut dogovor. IBM kaže da nema evidenciju da je bio njegov klijent, a Altria kaže da ne radi sa Džampšotom, iako ne navodi da li je to činila u prošlosti. Sefora kaže da nije sarađivala sa Džampšotom. Gugl nije odgovorio na zahtev za komentar.

Na svom sajtu i u saopštenjima za štampu, Džampšot imenuje Pepsi i gigante za konsalting, Bejn & Kompani i Mekinzi kao svoje klijente.

Pored Ekspedije, Intuita i Loreala, druge kompanije koje do sada nisu pominjane u javnim Džampšotovim saopštenjima uključuju proizvođača kafe Keurig, Jutjubovu promotivnu službu vidIQ, i firmu za uvid mušterija, Hitvajz. Ni iz jedne od ovih kompanija nisu odgovorili na zahtev za komentar.

Na svom sajtu, Džampšot navodi neke od ranijih studija u kojima su korišćeni njihovi podaci o pretragama. Gigant digitalnih medija i štampe, Konde Nast, na primer, koristio je Džampšotove proizvode da vidi da li su reklame ove medijske kompanije dovele do više kupovine na Amazonu i drugim mestima. Konde Nast nije odgovorio na zahteve za komentar.

SVI TI KLIKOVI

Džampšot prodaje niz različitih proizvoda zasnovanih na podacima koje prikuplja Avastov antivirus softver instaliran na kompjuterima korisnika. Klijenti u institucionalnom finansijskom sektoru često kupuju spisak 10 hiljada najpopularnijih domena koji posećuju korisnici Avasta, da bi pokušali da uoče trendove, piše u priručniku za proizvod.

Još jedan Džampšotov proizvod se zove „All Click Feed“. On omogućuje klijentima da kupuju informacije o svim klikovima koje je Džampšot video na određenom domenu, kao što su Amazon.com, Walmart.com, Target.com, BestBuy.com, ili Ebay.com.

U tvitu poslatom prošlog meseca čija je namera da se privuku novi klijenti, Džampšot primećuje da prikuplja „Svaku pretragu. Svaki klik. Svaku kupovinu. Na svakom sajtu“ [boldovana slova su Džampšotova].

Džampšotovi podaci pokazuju kako je neko ko ima instaliran Avastov antivirus na svom kompjuteru tražio neki proizvod na Guglu, kako je kliknuo na link koji je otišao na Amazon, a onda možda dodao neku stavku u svoju korpu na nekom drugom sajtu, pre nego što je konačno kupio proizvod, objašnjava izvor koji je obezbedio dokumenta.

Jedna od kompanija koje su kupile All Clicks Feed je njujorška marketinška firma Omnicom Media Group, prema kopiji njihovog ugovora sa Džampšotom. Omnikom je 2019. platio Džampšotu 2.075.000 dolara za pristup podacima, pokazuje ugovor. To takođe uključuje još jedan proizvod pod nazivom „Insight Feed“, za 20 različitih domena. Cena za podatke u 2020. a zatim i u 2021. je navedena kao 2.225.000 i 2.275.000 dolara, dodaje se u dokumentu.

1580071510001-jumpshot-document-2
Odlomak internog džampšotovog dokumenta do kojih su došli Motherboard i Pcmag. Motherboard je rekonstruisao dokument, i ne objavljuje njegov direktni skrinšot..

Džampšot je Omnikomu dao pristup svim klikovima iz 14 različitih zemalja širom sveta, uključujući i SAD, Englesku, Kanadu, Australiju i Novi Zeland. Proizvod takođe uključuje i pretpostavljeni pol korisnika, „na osnovu ponašanja prilikom pretrage“, pretpostavljeni uzrast, i „čitav URL niz“, ali bez informacija o ličnim podacima, dodaje se u ugovoru.

Omnikom nije reagovao na višestruke zahteve za komentare.

Prema ugovoru sa Omnikomom, „identitet uređaja“ svakog korisnika je skriven, što znači da kompanija koja kupuje podatke ne bi trebalo da bude u stanju da identifikuje ko zapravo stoji iza svake aktivnosti pretrage. Umesto toga, Džampšotovi proizvodi bi trebalo da pruže uvid kompanijama koje bi možda želele da vide koji proizvodi su posebno popularni, ili koliko je efikasna neka reklamna kampanja.

„Ono što ne činimo je da ne prijavljujemo identitet Džampšot uređaja, da bismo zaštitili njegove podatke“, piše u jednom internom Džampšotovom dokumentu.

Ali Džampšotovi podaci možda nisu sasvim anonimni. Interni priručnik za proizvod kaže da se identitet uređaja ne menja za svakog korisnika, „osim ako korisnik ponovo ne instalira bezbednosni softver“. Brojni članci i naučne studije su pokazali kako je moguće otkriti ljude koji koriste takozvane anonimizirane podatke. 2006. godine, novinari Njujork Tajmsa su bili u stanju da identifikuju određenu osobu iz skladišta navodno anonimnih podataka o pretragama koje je AOL javno objavio. Iako su ispitani podaci više bili fokusirani na linkove sa društvenih mreža, koje je Džampšot donekle prilagodio, studija Univerziteta Stanford iz 2017. je otkrila da je moguće identifikovati ljude preko anonimnih podataka o pretrazi na internetu.

„De-identifikacija se pokazala kao proces sklon greškama. Ima toliko mnogo stvari koje mogu da krenu po zlu“, kaže Gins Akar, koji proučava sveobuhvatno praćenje na internetu u okviru istraživačke grupe za kompjutersku bezbednost i industrijsku kriptografiju pri katedri za elektro-inženjering katoličkog Univerziteta Loven.

1580071485914-jumpshot-document-3
Odlomak internog džampšotovog dokumenta koji su pribavili Motherboard i Pcmag. Motherboard je rekonstruisao dokument, i ne objavljuje njegov direktni skrinšot.

De-anonimizacija postaje sve veća briga, kada se uzme u obzir kako bi eventualni krajnji korisnici podataka Džampšota mogli da ih kombinuju sa sopstvenim podacima.

„Najveći deo pretnji koje predstavlja de-anonimizacija – kada identifikujete ljude – potiče od mogućnosti da se informacije spoje sa drugim podacima“, kaže Akar. Skup Džampšotovih podataka koji su prikupili Motherboard i PCMag pokazuje kako svaki posećeni URL dolazi sa preciznom vremenskom odrednicom, do milisekunde, što može da omogući kompaniji koja ima sopstvenu banku podataka o mušterijama da vidi koji tačno korisnik je posetio njihov sajt, a onda da ga prati preko ostalih sajtova iz Džampšotove datoteke.

„Gotovo je nemoguće de-identifikovati podatke“, kaže Erik Goldman, profesor pravnog fakulteta Univerziteta u Santa Klari. „Kada obećavaju da će de-identifikovati podatke, ja im ne verujem“.
Motherboard i PCMag su postavili Avastu niz detaljnih pitanja o tome kako štite anonimnost korisnika, kao i o detaljima o nekim od ugovora ove kompanije. Avast nije odgovorio na većinu pitanja, ali je u izjavi napisao, „Zbog našeg pristupa, mi se staramo za to da Džampšot ne prikuplja lične informacije o identifikaciji, uključujući ime, mejl adresu ili detalje kontakta, od ljudi koji koriste naš popularan antivirus softver“.

„Korisnici su uvek imali mogućnost da se odluče da ne dele podatke preko Džampšota. Od jula 2019, već smo počeli da primenjujemo eksplicitnu mogućnost za odbijanje te opcije prilikom svakog novog preuzimanja našog AV-a, a sada takođe nudimo našim postojećim korisnicima da naprave eksplicitni izbor, što je proces koji će biti okončan do februara 2020“, piše u izjavi, i dodaje se da kompanija poštuje kalifornijski Zakon o privatnosti potrošača (CCPA) i evropsku Generalnu regulativu o zaštiti podatak (GDPR), na globalnom nivou baze svojih korisnika.

„Odavno smo poznati po tome da štitimo uređaje i podatke korisnika od malvera, i razumemo i ozbiljno shvatamo odgovornost da balansiramo privatnost korisnika sa neophodnim korišćenjem podataka“, dodaje se u izjavi.

„Gotovo je nemoguće de-identifikovati podatke.“

Kada je PCMag instalirao Avastov antivirusni proizvod, po prvi put ovog meseca, softer jeste pitao da li želi da se njegovi podaci prikupljaju.

„Ako to dozvolite, mi ćemo našoj potkompaniji Džampšot Ink. davati ogoljene i de-identifikovane podatke prikupljene iz istorijata vaše pretrage, u svrhu omogućavanja Džampšotu da analizira tržišne i poslovne trendove, i prikuplja druge vredne uvide“, piše u deklaraciji o saglasnosti. Međutim, pop-ap ne zalazi u detalje o tome kako Džampšot onda koristi ove podatke o pretrazi.

„Podaci su potpuno de-indetifikovani i združeni, i ne mogu se iskoristiti da vas neko lično identifikuje ili nacilja. Džampšot može da deli svoje združene uvide sa svojim mušterijama“, dodaje se u pop-apu.
Pre samo par dana, sa Tviter naloga Avastove potkompanije AVG je tvitovano, „Sećate li se kada ste poslednji put obrisali svoj #istorijat pretrage? Predugo čuvanje vašeg istorijata pretrage može da zauzme previše memorije vašeg uređaja, i može da predstavlja rizik za vaše lične informacije“.

Dopuna: članak je dopunjen odgovorom Sefore.