Premium

Získejte všechny články
jen za 89 Kč/měsíc

Avast čelí skandálu. Prodává data o tom, co všechno děláte na internetu

  13:01
Společnost Avast prodává detailní informace o internetové aktivitě uživatelů jejích programů: co hledají, co nakupují, na jaká videa se dívají. Vše má být anonymizované. Vyšetřování odborných magazínů však zjistilo, že data lze zpětně přiřadit ke konkrétním lidem.
Avast prodává detailní data o chování svých uživatelů.

Avast prodává detailní data o chování svých uživatelů. | foto: koláž Technet.czProfimedia.cz

České bezpečnostní a antivirové společnosti Avast se v těchto dnech dostává nezvyklé celosvětové mediální pozornosti. Servery PCMag a Motherboard totiž zveřejnily výsledky svého pátrání, ve kterém došly k závěru, že Avast prostřednictvím dceřiné společnosti Jumpshot prodává detailní data o chování svých uživatelů (to se již vědělo), a ačkoli jsou podle Avastu zcela anonymizovaná, podle závěrů pátrání tomu tak úplně není (a zde přichází hlavní důvod mediální pozornosti). Společnosti, které data od Jumpshotu zakoupí, mohou prý celkem jednoduše zpětně odvodit identitu daného uživatele.

Anonymní záznamy lze snadno deanonymizovat

Podívejme se nejprve, co společnost Jumpshot svým klientům nabízí. 

Screenshot z Jumpshot.com ze sekce „informace o firmě“

Tou podstatnou částí je „Jumpshot zprostředkovává vhled do zákaznických online výprav měřením každého vyhledávání, kliknutí a nákupu napříč 1 600 kategoriemi z více než 150 stránek, včetně Amazonu, Googlu, Netflixu a Walmartu“. Data mají být získávána ze 100 milionů zařízení, včetně počítačů a chytrých telefonů.

Podle závěrů redaktorů PCMagu jsou data natolik detailní, že klienti Jumpshotu vidí každý jednotlivý klik uživatele, který při vyhledávání na internetu udělal, včetně časové informace s přesností na milisekundy. A ačkoli tato data nikdy nenesou informaci o e-mailu nebo IP adrese uživatele, jsou opatřeny identifikátorem zařízení, které je neměnné do momentu, než uživatel z tohoto zařízení software od Avastu smaže. 

A zde je ten pověstný „zakopaný pes“.

Podle závěrů šetření totiž klient může tato anonymizovaná data porovnat proti vlastním datům o chování uživatel v jeho službě a snadno tak zjistí třeba to, že ten „anonymní záznam“ o nákupu konkrétních chytrých hodinek v jeho e-shopu přesně na milisekundu odpovídá nákupu konkrétních chytrých hodinek jeho konkrétního uživatele. Všechny získané záznamy se stejným identifikátorem zařízení tak najednou pozbudou anonymity a dostanou konkrétní jméno a třeba v případě e-shopu i adresu, telefon nebo číslo platební karty.

Takto reagoval na článek bývalý zaměstnanec Avastu Petr Dvořák: „OK, je to venku. A co je nejhorší, tohle vše jen pro pět procent z obratu firmy, navzdory sedmdesátiprocentním maržím, které Avast tradičně ve svém hlavním businessu má. Smutný příběh rozpuštění vize, poslušných zaměstnanců a firemní chamtivosti.“

Sběr dat je mnohem širší než vyhledávání na internetu a nákupy v e-shopech, systém sleduje, na jaký obsah se díváte na YouTube, Facebooku a Instagramu. Koukli jste se někdy v „anonymním režimu“ prohlížeče na nějaká obskurní lechtivá videa? I to je součástí obchodovaných dat.

Naboření důvěry

Dalo by se namítat, že soukromí na internetu přece neexistuje a že platí poučka „když je něco zdarma, produktem jste vy“. Je pochopitelné, že třeba Google nevytváří skvělé mapy a navigaci jen proto, že altruisticky chce, abyste pohodlně cestovali, a nic si za to na oplátku nevezme. Vezme – ví, kde se pohybujete, kam chodíte, jak dlouho tam jste, jak často tam jste, jaké služby telefonu s Androidem v těch místech používáte... a je to pro něj obrovsky cenný zdroj velmi podrobných a konkrétních dat.

U anitvirového systému je to trochu něco jiného. Ten si uživatel s důvěrou pustí do systému, udělí mu vysoká oprávnění a prakticky jej nechá úřadovat všude – software pro jeho ochranu to z principu svého fungování potřebuje. Uživatel však neočekává, že toho „ochránce jeho bezpečnosti“ zneužije k velmi podrobnému sledování jeho chování a takto sebraná data prostřednictvím své dceřiné společnosti prodá jiným firmám.

V půlroční uzávěrce za rok 2019 se Avast mimo jiné pochlubil „strategickým partnerstvím s analytickou firmou Jumpshot“, cílem má být „podchycení dalších příležitostí k růstu“.

O tom, že data nabízená společností Jumpshot pochází z antivirového systému Avastu, se hovořilo již v loňském roce. Jak vypadal instalační průvodce produktu Avast Free Antivirus předtím nevíme (respektive jak vypadala opt-in možnost po jejím přidání v červenci 2019), ale dnes je jedním z kroků „nastavení soukromí“ v této podobě:

Přinejmenším v tuto chvíli je při instalaci Avast Free Antivirus uživatel dotázán, zda chce svá data sdílet.

Uživatel je zde upozorněn na možnost sdílení s externími partnery, ale zároveň je uklidněn ubezpečením o jejich – podle závěru vyšetřování výše zmíněných magazínů neexistující – anonymitě. Pokud jste při instalaci zvolili „Souhlasím“ nebo si na to již nepamatujete, můžete své rozhodnutí změnit či upřesnit v nastavení programu.

V sekci „nastavení“ - „obecné“ - „sdílení dat“ můžete povolit či zakázat sdílení dat o používání se třetími stranami.

Zde můžete podrobněji nastavit například možnost sdílet s Avastem informace o bezpečnostních hrozbách (což dává smysl) a zároveň zakázat sdílení dat jak pro marketingové účely, tak jejich předávání třetím stranám.

Na otázky odpovídat nebudeme

Společnost Avast jsme kontaktovali a poslali osm upřesňujících otázek, na které jsme chtěli znát odpovědi. Z tiskového oddělení Avastu se nám však vrátilo jen strohé „Děkujeme za otázky, na které odpovídat nebudeme. K dispozici je pouze toto prohlášení níže. Díky moc za pochopení.“ 

Prohlášení přetiskujeme v plném znění: 

Prohlášení společnosti Avast

„V prosinci 2019 jsme rychle zareagovali a upravili naše bezpečnostní doplňky prohlížečů, tak aby splňovaly standardy obchodů s doplňky prohlížečů, takže vše nyní plně odpovídá jejich požadavkům. Současně jsme přestali používat jakákoliv data z bezpečnostních doplňků prohlížeče pro jiný účel, než je jádro našeho antivirového programu, včetně sdílení s naší dceřinou společností Jumpshot.

Ujišťujeme, že společnost Jumpshot nezískává osobní identifikační údaje jako jsou jména, e-mailové adresy nebo kontaktní údaje. Uživatelé měli vždy možnost odhlásit se a data se společností Jumpshot nesdílet. Od července 2019 jsme zavedli volbu „opt-in“, tedy možnost pro všechny nové uživatele zvolit si, zda chtějí data sdílet, nebo ne. Nyní také vyzýváme naše stávající uživatele bezplatného antivirového programu, aby se rozhodli pro možnost opt-in nebo opt-out. Tento proces bude dokončen v únoru 2020.

Naše platné Zásady ochrany osobních údajů podrobně popisují způsob ochrany dat, který jsme zavedli pro všechny naše uživatele. Ti si také mohou upravit úroveň ochrany osobních údajů pomocí široké škály nastavení dostupných v našich produktech, včetně kontroly nad jakýmkoli sdílením dat. Globálně jsme se všude, kde působíme, dobrovolně přihlásili k dodržování požadavků na ochranu soukromí GDPR a kalifornského spotřebitelského zákona California Consumer Privacy Act (CCPA).“

Avast má dlouhou historii ochrany zařízení a dat uživatelů před škodlivým malwarem. Vnímáme velmi vážně naši odpovědnost za nalezení rovnováhy mezi soukromím uživatelů a nezbytným používáním dat pro naše základní bezpečnostní produkty.“

29. ledna pak Avast na svém blogu dále uvedl:

„Přestože jsme jednali plně v mezích zákona a stále jsme ostražitě chránili soukromí našich uživatelů, vyslyšeli jsme čerstvou zpětnou vazbu a již jsme podnikli kroky ke splnění očekávání našich uživatelů. Také nadále uvažujeme nad tím, zda analýzy trendů odpovídají našim hodnotám coby společnosti zabývající se kybernetickou bezpečností a ochranou soukromí.“

To, že data získaná bezpečnostními aplikacemi Avastu využívá společnost Jumpshot, vyjádření potvrzuje, stejně jako jako jejich anonymizovanou podobu. O tom, zda lze tato data zpětně deanonymizovat se však (pochopitelně) nezmiňuje.

Nic zcela „free“ neexistuje

Pokud bychom chtěli z celé situace vydestilovat nějaké poučení, nabízí se dvě: 

  • Za produktem nebo službou zdarma se zpravidla skrývá nějaký obchodní plán. Může to být obyčejný proud reklam, který uživatel během používání aplikace sleduje, ale může se také snadno stát, že se produktem stane on sám, respektive jeho konání a chování na internetu, v aplikacích a službách. A není to malý business – například společnost Omnicom Media Group loni zaplatila společnosti Jumpshot za kompletní „All Clicks Feed“ víc než dva miliony dolarů.
  • Nastavení „soukromí“ a „sdílení dat“ se vyplatí neignorovat. Uživatelé v Evropě i Americe jsou v mnoha ohledech chráněni legislativou a na obchodování s informacemi je v ní pamatováno. Provozovatel služby nebo aplikace tak leckdy musí nabídnout uživateli možnost se rozhodnout, zda daná data poskytne, nebo ne, a případně k jakému účelu. Takovou volbu pak často najdete v nastavení v sekci ochrana soukromí nebo sdílení dat.

V tuto chvíli nezbývá než čekat, jak se Avast k výsledkům šetření magazínů PCMag a Motherboard postaví. Ondřej Vlček, generální ředitel společnosti Avast, totiž na firemním diskuzním fóru již v roce 2015 vysvětloval, že součástí zpracování dat, které Jumpsuit nabízí svým klientům, je takzvaná agregace – klienti nedostávají jednotlivé záznamy, ale jejich kompiláty. Bylo by dobré vědět, zda tedy Avast od agregace upustil, nebo ji jen nedělá dostatečně důkladně. Pochybujeme totiž, že by tato část procesu očím vyšetřovatelů z obou magazínů utekla. 

Avast už v prohlášení uvedl, že „vyslyšel zpětnou vazbu“ a zváží, zda „analýzy trendů odpovídají hodnotám společnosti zabývající se ochranou soukromí“. Získat zpět důvěru uživatelů každopádně nebude jednoduché.

Aktualizace: Do článku jsme doplnili nové vyjádření společnosti Avast.

Autoři: ,
Témata: Avast
  • Nejčtenější

Znovuzrození japonských letadlových lodí. Ve výzbroji budou mít F-35B

v diskusi je 50 příspěvků

19. dubna 2024

Japonsko má ve své ústavě zakázáno vlastnit ofenzivní zbraně, jako jsou letadlové lodě. Doba...

Námořníci USA propašovali před 100 lety na palubu bitevní lodi prostitutku

v diskusi je 30 příspěvků

13. dubna 2024

V dubnu 1924 zažilo americké námořnictvo obrovský skandál, který se dostal na titulní stránky...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Uvidíme v budoucnu na obloze druhý Měsíc? Příčinou může být neobvyklá hvězda

v diskusi je 13 příspěvků

17. dubna 2024

Velmi neobvyklá hvězda éta Carinae v 19. století náhle zjasnila a stala se druhou nejjasnější...

Skvělý filmový zvuk bez velké instalace. Test nejzajímavějších soundbarů

v diskusi je 17 příspěvků

15. dubna 2024

Položíte jej na polici před televizor, propojíte kabelem, zapojíte do zásuvky a během pár chvil se...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Unikátní exkurze. Nahlédněte do francouzské jaderné ponorky před vyplutím

v diskusi je 12 příspěvků

20. dubna 2024

Není obvyklé, aby reportéři mohli nahlédnout do jaderné ponorky v aktivní službě. Agentura AP nyní...

Před 100 lety padl světový rekord v délce letu vrtulníkem

v diskusi je 1 příspěvek

20. dubna 2024

Duben 1924 přinesl další mírný progres lidských schopností v oblasti létání. Světový rekord v délce...

Unikátní exkurze. Nahlédněte do francouzské jaderné ponorky před vyplutím

v diskusi je 12 příspěvků

20. dubna 2024

Není obvyklé, aby reportéři mohli nahlédnout do jaderné ponorky v aktivní službě. Agentura AP nyní...

Znovuzrození japonských letadlových lodí. Ve výzbroji budou mít F-35B

v diskusi je 50 příspěvků

19. dubna 2024

Japonsko má ve své ústavě zakázáno vlastnit ofenzivní zbraně, jako jsou letadlové lodě. Doba...

Lotyšská armáda je malá, materiálem nehýří, ale Ukrajině něco ze svého poslala

v diskusi je 5 příspěvků

18. dubna 2024

V roce 2004 vstoupilo Lotyšsko do NATO, přesto nemůže nechat svou případnou obranu pouze na bedrech...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Manželé Babišovi se rozcházejí, přejí si zachovat rodinnou harmonii

Podnikatel, předseda ANO a bývalý premiér Andrej Babiš (69) s manželkou Monikou (49) v pátek oznámili, že se...

Sexy Sandra Nováková pózovala pro Playboy. Focení schválil manžel

Herečka Sandra Nováková už několikrát při natáčení dokázala, že s odhalováním nemá problém. V minulosti přitom tvrdila,...

Charlotte spí na Hlaváku mezi feťáky, dluží spoustě lidí, říká matka Štikové

Charlotte Štiková (27) před rokem oznámila, že zhubla šedesát kilo. Na aktuálních fotkách, které sdílela na Instagramu...

Vykrojené trikoty budí emoce. Olympijská kolekce Nike je prý sexistická

Velkou kritiku vyvolala kolekce, kterou pro olympijský tým amerických atletek navrhla značka Nike. Pozornost vzbudily...

Ve StarDance zatančí Vondráčková, Paulová, hvězda Kukaček i mistryně světa

Tuzemská verze celosvětově mimořádně úspěšné soutěže StarDance britské veřejnoprávní televizní společnosti BBC se už na...