Проблемы приватности в продуктах Avast

Совместное расследование, проведенное изданиями Vice Motherboard и PCMag, обнаружило, что антивирус Avast собирал пользовательские данные, которые затем перепродавались таким гигантам, как Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit и многим, многим другим.

Подразделение Avast, занимавшееся продажей данных, — это дочерняя компания Jumpshot, которая предлагает своим клиентам доступ к пользовательскому трафику со 100 миллионов устройств, включая компьютеры и телефоны.

Выводы исследователей были основаны на анализе утечек, контрактов и других документов компании. Журналисты подчеркивали, что подобные сделки между компаниями обычно крайне конфиденциальные, а сотрудники компаний, как правило, проинструктированы не говорить публично об отношениях с Jumpshot.

Как известно, компании готовы платить за пользовательские данные миллионы долларов, а продукты Jumpshot, вроде All Clicks Feed, позволяют отслеживать действия пользователей с точностью до клика на конкретном домене. К примеру, данные Jumpshot могут наглядно показать, как пользователь антивируса Avast искал продукт в Google, перешел по ссылке на Amazon, а затем, возможно, добавил товар в корзину на другом сайте, прежде чем наконец купил его.

Другие продукты Jumpshot предназначены, например, для отслеживания того, какие видео пользователи просматривают на YouTube, в Facebook и Instagram или для анализа конкретных e-commerce-доменов, чтобы помочь маркетологам понять, как пользователи на них попадают.

Одна из компаний, которые пользовались инструментом All Clicks Feed, — нью-йоркская маркетинговая фирма Omnicom Media Group. Согласно документации Jumpshot, Omnicom заплатила Jumpshot 2 075 000 долларов за доступ к данным только в 2019 году.

Напомню, что впервые о проблемах приватности в продуктах Avast заговорили в декабре прошлого года. Тогда организация Mozilla получила предупреждение от разработчика AdBlock Plus Владимира Паланта. Еще осенью 2019 года он изучил работу Avast Online Security и AVG Online Security и обнаружил, что аддоны для Firefox собирают куда больше данных, чем необходимо для их работы, в том числе подробную историю браузера. Затем Палант опубликовал в своем блоге еще один материал, в котором рассказал об аналогичном поведении Avast SafePrice и AVG SafePrice. В итоге все расширения были удалены из официального каталога расширений для Firefox, а вскоре примеру инженеров Mozilla последовали и разработчики Opera и Google, тоже исключив из своих каталогов расширения Avast и дочерней AVG.

Тогда представители Avast уверяли, что упомянутому Avast Online Security просто необходимо собирать историю URL-адресов, чтобы обеспечить пользователям безопасность, ведь аддон предназначен для защиты от фишинга и вредоносных сайтов. Подчеркивалось, что данные собираются без идентификации пользователя, то есть все данные обезличены.

Как теперь рассказывают Vice Motherboard и PCMag, собираемые Avast пользовательские данные настолько детализированы, что клиенты могут «видеть» даже отдельные клики, которые пользователи делают во время сессий, причем с точностью до миллисекунды. Собирают информацию о поисковых запросах в Google, поиске локаций и координат GPS на Google Maps, данные о посещении страниц компаний на LinkedIn и конкретных видео на YouTube, а также о посещении порносайтов. Например, можно определить дату и время, когда анонимный пользователь заходил на YouPorn и PornHub, а в некоторых случаях даже узнать, что именно он искал там и что смотрел в итоге.

И хотя собираемые данные действительно не связываются с именем человека, адресом его электронной почты или IP-адресом, то есть де-юре считаются обезличенными, каждому пользователю все же присваивается уникальный ID, называемый идентификатором устройства, который сохраняется до тех пор, пока пользователь не удалит со своего устройства антивирусный продукт Avast.

ИБ-эксперты уверяют, что, располагая такой детальной информацией, какую предоставляет своим клиентам Jumpshot, компаниям-клиентам будет совсем нетрудно сопоставить эти исчерпывающие данные с информацией из других источников, в итоге получив подробный профиль конкретного человека. По мнению экспертов и журналистов, вряд ли в таком случае корректно говорить про обезличенность собираемых данных.

После прошлогоднего скандала из-за браузерных расширений представители Avast уверяли, что прекратили собирать и передавать пользовательские данные Jumpshot, но журналисты говорят, что сбор информации продолжается. Просто теперь Avast собирает данные не с помощью браузерных аддонов, а при помощи самого антивируса.

Согласно внутренним документам, спрашивать у пользователей бесплатных антивирусных решений разрешение на сбор данных Avast начал только недавно. Документация гласит, что, если пользователь предоставит свое согласие, его устройство станет частью Jumpshot Panel, то есть будет сливать информацию обо всей интернет-активности браузера, включая данные о том, какие URL посещали с устройства, в каком порядке и когда именно.

Vice Motherboard и PCMag обратились за официальным комментарием к самим представителям Avast, однако те не стали отвечать на большинство вопросов журналистов. В компании лишь подчеркнули, что соблюдают законы и предоставляют пользователям возможность отказаться от сбора данных в пользу Jumpshot.

Однако скандал стремительно набирал обороты, и 30 января 2020 года представители Avast объявили, что в ближайшем будущем компания прекратит предоставлять данные своей дочерней компании Jumpshot и начнет ее полную ликвидацию.

Также в блоге компании подчеркивается, что Jumpshot, даже будучи дочерней компанией Avast, всегда действовала как независимая компания с собственным руководством и советом директоров.

В Avast пообещали, что остальные продукты компании будут продолжать работать в обычном режиме и пользователи не заметят изменений.