České bezpečnostní a antivirové společnosti Avast se v těchto dnech dostává nezvyklé celosvětové mediální pozornosti. Servery PCMag a Motherboard totiž zveřejnily výsledky svého pátrání, ve kterém došly k závěru, že Avast prostřednictvím dceřiné společnosti Jumpshot prodává detailní data o chování svých uživatelů (to se již vědělo), a ačkoli jsou podle Avastu zcela anonymizovaná, podle závěrů pátrání tomu tak úplně není (a zde přichází hlavní důvod mediální pozornosti). Společnosti, které data od Jumpshotu zakoupí, mohou prý celkem jednoduše zpětně odvodit identitu daného uživatele.
Anonymní záznamy lze snadno deanonymizovat
Podívejme se nejprve, co společnost Jumpshot svým klientům nabízí.
Screenshot z Jumpshot.com ze sekce „informace o firmě“
Tou podstatnou částí je „Jumpshot zprostředkovává vhled do zákaznických online výprav měřením každého vyhledávání, kliknutí a nákupu napříč 1 600 kategoriemi z více než 150 stránek, včetně Amazonu, Googlu, Netflixu a Walmartu“. Data mají být získávána ze 100 milionů zařízení, včetně počítačů a chytrých telefonů.
Podle závěrů redaktorů PCMagu jsou data natolik detailní, že klienti Jumpshotu vidí každý jednotlivý klik uživatele, který při vyhledávání na internetu udělal, včetně časové informace s přesností na milisekundy. A ačkoli tato data nikdy nenesou informaci o e-mailu nebo IP adrese uživatele, jsou opatřeny identifikátorem zařízení, které je neměnné do momentu, než uživatel z tohoto zařízení software od Avastu smaže.
A zde je ten pověstný „zakopaný pes“.
Podle závěrů šetření totiž klient může tato anonymizovaná data porovnat proti vlastním datům o chování uživatel v jeho službě a snadno tak zjistí třeba to, že ten „anonymní záznam“ o nákupu konkrétních chytrých hodinek v jeho e-shopu přesně na milisekundu odpovídá nákupu konkrétních chytrých hodinek jeho konkrétního uživatele. Všechny získané záznamy se stejným identifikátorem zařízení tak najednou pozbudou anonymity a dostanou konkrétní jméno a třeba v případě e-shopu i adresu, telefon nebo číslo platební karty.
Ok, so... it is out... and the worst part: this is all done for just 5% of company revenue, despite the 70%-ish margins Avast traditionally makes on their core business... Sad story of a dissolving vision, obedient employees and corporate greed. https://t.co/DJspVFpimo
Takto reagoval na článek bývalý zaměstnanec Avastu Petr Dvořák: „OK, je to venku. A co je nejhorší, tohle vše jen pro pět procent z obratu firmy, navzdory sedmdesátiprocentním maržím, které Avast tradičně ve svém hlavním businessu má. Smutný příběh rozpuštění vize, poslušných zaměstnanců a firemní chamtivosti.“
Sběr dat je mnohem širší než vyhledávání na internetu a nákupy v e-shopech, systém sleduje, na jaký obsah se díváte na YouTube, Facebooku a Instagramu. Koukli jste se někdy v „anonymním režimu“ prohlížeče na nějaká obskurní lechtivá videa? I to je součástí obchodovaných dat.
Naboření důvěry
Dalo by se namítat, že soukromí na internetu přece neexistuje a že platí poučka „když je něco zdarma, produktem jste vy“. Je pochopitelné, že třeba Google nevytváří skvělé mapy a navigaci jen proto, že altruisticky chce, abyste pohodlně cestovali, a nic si za to na oplátku nevezme. Vezme – ví, kde se pohybujete, kam chodíte, jak dlouho tam jste, jak často tam jste, jaké služby telefonu s Androidem v těch místech používáte... a je to pro něj obrovsky cenný zdroj velmi podrobných a konkrétních dat.
U anitvirového systému je to trochu něco jiného. Ten si uživatel s důvěrou pustí do systému, udělí mu vysoká oprávnění a prakticky jej nechá úřadovat všude – software pro jeho ochranu to z principu svého fungování potřebuje. Uživatel však neočekává, že toho „ochránce jeho bezpečnosti“ zneužije k velmi podrobnému sledování jeho chování a takto sebraná data prostřednictvím své dceřiné společnosti prodá jiným firmám.
V půlroční uzávěrce za rok 2019 se Avast mimo jiné pochlubil „strategickým partnerstvím s analytickou firmou Jumpshot“, cílem má být „podchycení dalších příležitostí k růstu“.
O tom, že data nabízená společností Jumpshot pochází z antivirového systému Avastu, se hovořilo již v loňském roce. Jak vypadal instalační průvodce produktu Avast Free Antivirus předtím nevíme (respektive jak vypadala opt-in možnost po jejím přidání v červenci 2019), ale dnes je jedním z kroků „nastavení soukromí“ v této podobě:
Přinejmenším v tuto chvíli je při instalaci Avast Free Antivirus uživatel dotázán, zda chce svá data sdílet.
Uživatel je zde upozorněn na možnost sdílení s externími partnery, ale zároveň je uklidněn ubezpečením o jejich – podle závěru vyšetřování výše zmíněných magazínů neexistující – anonymitě. Pokud jste při instalaci zvolili „Souhlasím“ nebo si na to již nepamatujete, můžete své rozhodnutí změnit či upřesnit v nastavení programu.
V sekci „nastavení“ - „obecné“ - „sdílení dat“ můžete povolit či zakázat sdílení dat o používání se třetími stranami.
Zde můžete podrobněji nastavit například možnost sdílet s Avastem informace o bezpečnostních hrozbách (což dává smysl) a zároveň zakázat sdílení dat jak pro marketingové účely, tak jejich předávání třetím stranám.
Na otázky odpovídat nebudeme
Společnost Avast jsme kontaktovali a poslali osm upřesňujících otázek, na které jsme chtěli znát odpovědi. Z tiskového oddělení Avastu se nám však vrátilo jen strohé „Děkujeme za otázky, na které odpovídat nebudeme. K dispozici je pouze toto prohlášení níže. Díky moc za pochopení.“
Prohlášení přetiskujeme v plném znění:
Prohlášení společnosti Avast„V prosinci 2019 jsme rychle zareagovali a upravili naše bezpečnostní doplňky prohlížečů, tak aby splňovaly standardy obchodů s doplňky prohlížečů, takže vše nyní plně odpovídá jejich požadavkům. Současně jsme přestali používat jakákoliv data z bezpečnostních doplňků prohlížeče pro jiný účel, než je jádro našeho antivirového programu, včetně sdílení s naší dceřinou společností Jumpshot. Ujišťujeme, že společnost Jumpshot nezískává osobní identifikační údaje jako jsou jména, e-mailové adresy nebo kontaktní údaje. Uživatelé měli vždy možnost odhlásit se a data se společností Jumpshot nesdílet. Od července 2019 jsme zavedli volbu „opt-in“, tedy možnost pro všechny nové uživatele zvolit si, zda chtějí data sdílet, nebo ne. Nyní také vyzýváme naše stávající uživatele bezplatného antivirového programu, aby se rozhodli pro možnost opt-in nebo opt-out. Tento proces bude dokončen v únoru 2020. Naše platné Zásady ochrany osobních údajů podrobně popisují způsob ochrany dat, který jsme zavedli pro všechny naše uživatele. Ti si také mohou upravit úroveň ochrany osobních údajů pomocí široké škály nastavení dostupných v našich produktech, včetně kontroly nad jakýmkoli sdílením dat. Globálně jsme se všude, kde působíme, dobrovolně přihlásili k dodržování požadavků na ochranu soukromí GDPR a kalifornského spotřebitelského zákona California Consumer Privacy Act (CCPA).“ Avast má dlouhou historii ochrany zařízení a dat uživatelů před škodlivým malwarem. Vnímáme velmi vážně naši odpovědnost za nalezení rovnováhy mezi soukromím uživatelů a nezbytným používáním dat pro naše základní bezpečnostní produkty.“ 29. ledna pak Avast na svém blogu dále uvedl: „Přestože jsme jednali plně v mezích zákona a stále jsme ostražitě chránili soukromí našich uživatelů, vyslyšeli jsme čerstvou zpětnou vazbu a již jsme podnikli kroky ke splnění očekávání našich uživatelů. Také nadále uvažujeme nad tím, zda analýzy trendů odpovídají našim hodnotám coby společnosti zabývající se kybernetickou bezpečností a ochranou soukromí.“ |
To, že data získaná bezpečnostními aplikacemi Avastu využívá společnost Jumpshot, vyjádření potvrzuje, stejně jako jako jejich anonymizovanou podobu. O tom, zda lze tato data zpětně deanonymizovat se však (pochopitelně) nezmiňuje.
Nic zcela „free“ neexistuje
Pokud bychom chtěli z celé situace vydestilovat nějaké poučení, nabízí se dvě:
- Za produktem nebo službou zdarma se zpravidla skrývá nějaký obchodní plán. Může to být obyčejný proud reklam, který uživatel během používání aplikace sleduje, ale může se také snadno stát, že se produktem stane on sám, respektive jeho konání a chování na internetu, v aplikacích a službách. A není to malý business – například společnost Omnicom Media Group loni zaplatila společnosti Jumpshot za kompletní „All Clicks Feed“ víc než dva miliony dolarů.
- Nastavení „soukromí“ a „sdílení dat“ se vyplatí neignorovat. Uživatelé v Evropě i Americe jsou v mnoha ohledech chráněni legislativou a na obchodování s informacemi je v ní pamatováno. Provozovatel služby nebo aplikace tak leckdy musí nabídnout uživateli možnost se rozhodnout, zda daná data poskytne, nebo ne, a případně k jakému účelu. Takovou volbu pak často najdete v nastavení v sekci ochrana soukromí nebo sdílení dat.
V tuto chvíli nezbývá než čekat, jak se Avast k výsledkům šetření magazínů PCMag a Motherboard postaví. Ondřej Vlček, generální ředitel společnosti Avast, totiž na firemním diskuzním fóru již v roce 2015 vysvětloval, že součástí zpracování dat, které Jumpsuit nabízí svým klientům, je takzvaná agregace – klienti nedostávají jednotlivé záznamy, ale jejich kompiláty. Bylo by dobré vědět, zda tedy Avast od agregace upustil, nebo ji jen nedělá dostatečně důkladně. Pochybujeme totiž, že by tato část procesu očím vyšetřovatelů z obou magazínů utekla.
Avast už v prohlášení uvedl, že „vyslyšel zpětnou vazbu“ a zváží, zda „analýzy trendů odpovídají hodnotám společnosti zabývající se ochranou soukromí“. Získat zpět důvěru uživatelů každopádně nebude jednoduché.
Aktualizace: Do článku jsme doplnili nové vyjádření společnosti Avast.
