Čtvrtek 27. února 2020, svátek má Alexandr
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 27. února 2020 Alexandr

Avast čelí skandálu. Prodává data o tom, co všechno děláte na internetu

  13:01aktualizováno  13:01
Společnost Avast prodává detailní informace o internetové aktivitě uživatelů jejích programů: co hledají, co nakupují, na jaká videa se dívají. Vše má být anonymizované. Vyšetřování odborných magazínů však zjistilo, že data lze zpětně přiřadit ke konkrétním lidem.

Avast prodává detailní data o chování svých uživatelů. | foto: koláž Technet.czProfimedia.cz

České bezpečnostní a antivirové společnosti Avast se v těchto dnech dostává nezvyklé celosvětové mediální pozornosti. Servery PCMag a Motherboard totiž zveřejnily výsledky svého pátrání, ve kterém došly k závěru, že Avast prostřednictvím dceřiné společnosti Jumpshot prodává detailní data o chování svých uživatelů (to se již vědělo), a ačkoli jsou podle Avastu zcela anonymizovaná, podle závěrů pátrání tomu tak úplně není (a zde přichází hlavní důvod mediální pozornosti). Společnosti, které data od Jumpshotu zakoupí, mohou prý celkem jednoduše zpětně odvodit identitu daného uživatele.

Anonymní záznamy lze snadno deanonymizovat

Podívejme se nejprve, co společnost Jumpshot svým klientům nabízí. 

Screenshot z Jumpshot.com ze sekce „informace o firmě“

Screenshot z Jumpshot.com ze sekce „informace o firmě“

Tou podstatnou částí je „Jumpshot zprostředkovává vhled do zákaznických online výprav měřením každého vyhledávání, kliknutí a nákupu napříč 1 600 kategoriemi z více než 150 stránek, včetně Amazonu, Googlu, Netflixu a Walmartu“. Data mají být získávána ze 100 milionů zařízení, včetně počítačů a chytrých telefonů.

Podle závěrů redaktorů PCMagu jsou data natolik detailní, že klienti Jumpshotu vidí každý jednotlivý klik uživatele, který při vyhledávání na internetu udělal, včetně časové informace s přesností na milisekundy. A ačkoli tato data nikdy nenesou informaci o e-mailu nebo IP adrese uživatele, jsou opatřeny identifikátorem zařízení, které je neměnné do momentu, než uživatel z tohoto zařízení software od Avastu smaže. 

A zde je ten pověstný „zakopaný pes“.

Podle závěrů šetření totiž klient může tato anonymizovaná data porovnat proti vlastním datům o chování uživatel v jeho službě a snadno tak zjistí třeba to, že ten „anonymní záznam“ o nákupu konkrétních chytrých hodinek v jeho e-shopu přesně na milisekundu odpovídá nákupu konkrétních chytrých hodinek jeho konkrétního uživatele. Všechny získané záznamy se stejným identifikátorem zařízení tak najednou pozbudou anonymity a dostanou konkrétní jméno a třeba v případě e-shopu i adresu, telefon nebo číslo platební karty.

27.ledna 2020 v 16:12, příspěvek archivován: 29.ledna 2020 v 11:38

Ok, so... it is out... and the worst part: this is all done for just 5% of company revenue, despite the 70%-ish margins Avast traditionally makes on their core business... Sad story of a dissolving vision, obedient employees and corporate greed. https://t.co/DJspVFpimo

Takto reagoval na článek bývalý zaměstnanec Avastu Petr Dvořák: „OK, je to venku. A co je nejhorší, tohle vše jen pro pět procent z obratu firmy, navzdory sedmdesátiprocentním maržím, které Avast tradičně ve svém hlavním businessu má. Smutný příběh rozpuštění vize, poslušných zaměstnanců a firemní chamtivosti.“

Sběr dat je mnohem širší než vyhledávání na internetu a nákupy v e-shopech, systém sleduje, na jaký obsah se díváte na YouTube, Facebooku a Instagramu. Koukli jste se někdy v „anonymním režimu“ prohlížeče na nějaká obskurní lechtivá videa? I to je součástí obchodovaných dat.

Naboření důvěry

Dalo by se namítat, že soukromí na internetu přece neexistuje a že platí poučka „když je něco zdarma, produktem jste vy“. Je pochopitelné, že třeba Google nevytváří skvělé mapy a navigaci jen proto, že altruisticky chce, abyste pohodlně cestovali, a nic si za to na oplátku nevezme. Vezme – ví, kde se pohybujete, kam chodíte, jak dlouho tam jste, jak často tam jste, jaké služby telefonu s Androidem v těch místech používáte... a je to pro něj obrovsky cenný zdroj velmi podrobných a konkrétních dat.

U anitvirového systému je to trochu něco jiného. Ten si uživatel s důvěrou pustí do systému, udělí mu vysoká oprávnění a prakticky jej nechá úřadovat všude – software pro jeho ochranu to z principu svého fungování potřebuje. Uživatel však neočekává, že toho „ochránce jeho bezpečnosti“ zneužije k velmi podrobnému sledování jeho chování a takto sebraná data prostřednictvím své dceřiné společnosti prodá jiným firmám.

V půlroční uzávěrce za rok 2019 se Avast mimo jiné pochlubil „strategickým...

V půlroční uzávěrce za rok 2019 se Avast mimo jiné pochlubil „strategickým partnerstvím s analytickou firmou Jumpshot“, cílem má být „podchycení dalších příležitostí k růstu“.

O tom, že data nabízená společností Jumpshot pochází z antivirového systému Avastu, se hovořilo již v loňském roce. Jak vypadal instalační průvodce produktu Avast Free Antivirus předtím nevíme (respektive jak vypadala opt-in možnost po jejím přidání v červenci 2019), ale dnes je jedním z kroků „nastavení soukromí“ v této podobě:

Přinejmenším v tuto chvíli je při instalaci Avast Free Antivirus uživatel...

Přinejmenším v tuto chvíli je při instalaci Avast Free Antivirus uživatel dotázán, zda chce svá data sdílet.

Uživatel je zde upozorněn na možnost sdílení s externími partnery, ale zároveň je uklidněn ubezpečením o jejich – podle závěru vyšetřování výše zmíněných magazínů neexistující – anonymitě. Pokud jste při instalaci zvolili „Souhlasím“ nebo si na to již nepamatujete, můžete své rozhodnutí změnit či upřesnit v nastavení programu.

V sekci „nastavení“ - „obecné“ - „sdílení dat“ můžete povolit či zakázat...

V sekci „nastavení“ - „obecné“ - „sdílení dat“ můžete povolit či zakázat sdílení dat o používání se třetími stranami.

Zde můžete podrobněji nastavit například možnost sdílet s Avastem informace o bezpečnostních hrozbách (což dává smysl) a zároveň zakázat sdílení dat jak pro marketingové účely, tak jejich předávání třetím stranám.

Na otázky odpovídat nebudeme

Společnost Avast jsme kontaktovali a poslali osm upřesňujících otázek, na které jsme chtěli znát odpovědi. Z tiskového oddělení Avastu se nám však vrátilo jen strohé „Děkujeme za otázky, na které odpovídat nebudeme. K dispozici je pouze toto prohlášení níže. Díky moc za pochopení.“ 

Prohlášení přetiskujeme v plném znění: 

Prohlášení společnosti Avast

„V prosinci 2019 jsme rychle zareagovali a upravili naše bezpečnostní doplňky prohlížečů, tak aby splňovaly standardy obchodů s doplňky prohlížečů, takže vše nyní plně odpovídá jejich požadavkům. Současně jsme přestali používat jakákoliv data z bezpečnostních doplňků prohlížeče pro jiný účel, než je jádro našeho antivirového programu, včetně sdílení s naší dceřinou společností Jumpshot.

Ujišťujeme, že společnost Jumpshot nezískává osobní identifikační údaje jako jsou jména, e-mailové adresy nebo kontaktní údaje. Uživatelé měli vždy možnost odhlásit se a data se společností Jumpshot nesdílet. Od července 2019 jsme zavedli volbu „opt-in“, tedy možnost pro všechny nové uživatele zvolit si, zda chtějí data sdílet, nebo ne. Nyní také vyzýváme naše stávající uživatele bezplatného antivirového programu, aby se rozhodli pro možnost opt-in nebo opt-out. Tento proces bude dokončen v únoru 2020.

Naše platné Zásady ochrany osobních údajů podrobně popisují způsob ochrany dat, který jsme zavedli pro všechny naše uživatele. Ti si také mohou upravit úroveň ochrany osobních údajů pomocí široké škály nastavení dostupných v našich produktech, včetně kontroly nad jakýmkoli sdílením dat. Globálně jsme se všude, kde působíme, dobrovolně přihlásili k dodržování požadavků na ochranu soukromí GDPR a kalifornského spotřebitelského zákona California Consumer Privacy Act (CCPA).“

Avast má dlouhou historii ochrany zařízení a dat uživatelů před škodlivým malwarem. Vnímáme velmi vážně naši odpovědnost za nalezení rovnováhy mezi soukromím uživatelů a nezbytným používáním dat pro naše základní bezpečnostní produkty.“

29. ledna pak Avast na svém blogu dále uvedl:

„Přestože jsme jednali plně v mezích zákona a stále jsme ostražitě chránili soukromí našich uživatelů, vyslyšeli jsme čerstvou zpětnou vazbu a již jsme podnikli kroky ke splnění očekávání našich uživatelů. Také nadále uvažujeme nad tím, zda analýzy trendů odpovídají našim hodnotám coby společnosti zabývající se kybernetickou bezpečností a ochranou soukromí.“

To, že data získaná bezpečnostními aplikacemi Avastu využívá společnost Jumpshot, vyjádření potvrzuje, stejně jako jako jejich anonymizovanou podobu. O tom, zda lze tato data zpětně deanonymizovat se však (pochopitelně) nezmiňuje.

Nic zcela „free“ neexistuje

Pokud bychom chtěli z celé situace vydestilovat nějaké poučení, nabízí se dvě: 

  • Za produktem nebo službou zdarma se zpravidla skrývá nějaký obchodní plán. Může to být obyčejný proud reklam, který uživatel během používání aplikace sleduje, ale může se také snadno stát, že se produktem stane on sám, respektive jeho konání a chování na internetu, v aplikacích a službách. A není to malý business – například společnost Omnicom Media Group loni zaplatila společnosti Jumpshot za kompletní „All Clicks Feed“ víc než dva miliony dolarů.
  • Nastavení „soukromí“ a „sdílení dat“ se vyplatí neignorovat. Uživatelé v Evropě i Americe jsou v mnoha ohledech chráněni legislativou a na obchodování s informacemi je v ní pamatováno. Provozovatel služby nebo aplikace tak leckdy musí nabídnout uživateli možnost se rozhodnout, zda daná data poskytne, nebo ne, a případně k jakému účelu. Takovou volbu pak často najdete v nastavení v sekci ochrana soukromí nebo sdílení dat.

V tuto chvíli nezbývá než čekat, jak se Avast k výsledkům šetření magazínů PCMag a Motherboard postaví. Ondřej Vlček, generální ředitel společnosti Avast, totiž na firemním diskuzním fóru již v roce 2015 vysvětloval, že součástí zpracování dat, které Jumpsuit nabízí svým klientům, je takzvaná agregace – klienti nedostávají jednotlivé záznamy, ale jejich kompiláty. Bylo by dobré vědět, zda tedy Avast od agregace upustil, nebo ji jen nedělá dostatečně důkladně. Pochybujeme totiž, že by tato část procesu očím vyšetřovatelů z obou magazínů utekla. 

Avast už v prohlášení uvedl, že „vyslyšel zpětnou vazbu“ a zváží, zda „analýzy trendů odpovídají hodnotám společnosti zabývající se ochranou soukromí“. Získat zpět důvěru uživatelů každopádně nebude jednoduché.

Aktualizace: Do článku jsme doplnili nové vyjádření společnosti Avast.

Autoři: ,

Přechod na DVB-T2

Od 27. 11. probíhá postupný přechod na vysílací standard DVB-T2. Proces by měl být dokončen do poloviny roku 2020. Diváci si tak musí pořídit televizi s podporou kódování H.265 (HEVC) nebo starší televizi doplnit vhodným set-top boxem.

Témata: Avast
  • Nejčtenější

Rolls-Royce chystá jadernou elektrárnu. S cenovou politikou Dacie

Britská společnost Rolls-Royce připravuje projekt menší jaderné elektrárny. Má vyřešit hlavní problém dnešního „jádra“:...

Tyto ženy jste neměli vidět. Na plátně se ukazovaly jen profesionálům

Tyto ženy se objevily na stříbrném plátně doslova v každém kině po celém světě. Přesto jste je pravděpodobně nikdy...

Kopírovat + Vložit. Zemřel vědec, kterému vděčíme za přátelský počítač

Většina dnešních uživatelů počítače zřejmě amerického programátora a matematika Larryho Teslera nezná. Výsledky jeho...

Jak si Tatra podmaňovala vzduch. V rozletu ji srazili Němci

Historie letadel Tatra je krátká, ale slavná. Ve své době hrstka těchto strojů úspěšně bojovala o své místo na nebi....

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Superpřenašeči nejsou. Co říká zatím největší studie epidemie COVID-19

Největší epidemiologická studie koronaviru COVID-19 ukazuje, kdo je nákazou nejvíce ohrožený. Existují také důvody k...

Premium

Která auta jsou skutečně bezpečná? Crash testy versus realita

Setkáváme se s názory, že auta jsou navrhována tak, aby dosáhla dobrých výsledků v nárazových testech. Díky Folksamu...

Premium

Trend u rozvodů: čím dál více dětí končí ve střídavé péči

Neustálé pendlování mezi dvěma domácnostmi dětem škodí, varují odborníci. Ve střídavé péči je v Česku stále více dětí....

Premium

Když je střílečka povinná. Hraju hry a platí mě za to, říká člen týmu Brute

Má k dispozici fitness trenéra, mentálního kouče, psychologa a ve škole individuální studijní plán. Tedy servis...

  • Další z rubriky

Tipy a triky pro Windows 10: vymáčkněte ze zamykací obrazovky více

Centrum akcí ve Windows 10 nedávno změnilo systém upozornění. Naučíme se řazení oznámení podle času a automatické...

Aplikace se vás pokusí naučit jazyky, jiná spočítá mzdu

Nová aplikace ukáže s předpovědí počasí i informace z radaru. Vyzkoušet můžete i nástroj na sledování teploty mobilního...

Software zdarma: snadno použitelný a stylový spouštěč aplikací

Pruh ikon, respektive dock známý z počítačů Mac můžete mít díky programu WinStep Nexus i vy. Konečně pořádný...

Aplikace pro Bořka stavitele, šetřící cestovatele i rosničky

Do aktuálního přehledu jsme zařadili například aplikaci na výpočty užitečné při betonování a stavění zdí. Jiná se...

Češi začínají panikařit. Vykupují těstoviny i čističe, klidně i za 20 tisíc

Část regálů v prodejně Lidl na pražské Zbraslavi je poloprázdná. Lidé vykoupili konzervy s gulášem, ale také některé...

Vždycky jsem byla obdařenější prsatice, směje se Lucie Benešová

Chtěla domek na Sicílii, ale nakonec si pořídila hezké místo pro stavbu v Jizerských horách. „Mám plno plánů, pořád...

Hospody, kolo a památky. Orlando Bloom si v Česku užívá se psem i snoubenkou

Orlando Bloom (43) natáčí v české metropoli seriál Carnival Row. Kromě herectví se tu nejčastěji věnuje svému psovi,...

Příběh Jirky: Manželka je po rodičovské jak utržená z řetězu

Se ženou jsme byli svoji téměř deset let, když jsme se konečně stali rodiči. Žena dlouho nechtěla, já bych byl otcem...

Bolek Polívka se opět oženil. Vzal si matku svých tří dětí

Bolek Polívka (70) s oblibou říkával, že každé z jeho dětí si zaslouží mít vlastní matku. Neplatilo to jen u jeho...