Sobota 17. dubna 2021, svátek má Rudolf
  • schránka
  • Přihlásit Můj účet
  • Sobota 17. dubna 2021 Rudolf

Avast čelí skandálu. Prodává data o tom, co všechno děláte na internetu

  13:01
Společnost Avast prodává detailní informace o internetové aktivitě uživatelů jejích programů: co hledají, co nakupují, na jaká videa se dívají. Vše má být anonymizované. Vyšetřování odborných magazínů však zjistilo, že data lze zpětně přiřadit ke konkrétním lidem.

Avast prodává detailní data o chování svých uživatelů. | foto: koláž Technet.czProfimedia.cz

České bezpečnostní a antivirové společnosti Avast se v těchto dnech dostává nezvyklé celosvětové mediální pozornosti. Servery PCMag a Motherboard totiž zveřejnily výsledky svého pátrání, ve kterém došly k závěru, že Avast prostřednictvím dceřiné společnosti Jumpshot prodává detailní data o chování svých uživatelů (to se již vědělo), a ačkoli jsou podle Avastu zcela anonymizovaná, podle závěrů pátrání tomu tak úplně není (a zde přichází hlavní důvod mediální pozornosti). Společnosti, které data od Jumpshotu zakoupí, mohou prý celkem jednoduše zpětně odvodit identitu daného uživatele.

Anonymní záznamy lze snadno deanonymizovat

Podívejme se nejprve, co společnost Jumpshot svým klientům nabízí. 

Screenshot z Jumpshot.com ze sekce „informace o firmě“

Screenshot z Jumpshot.com ze sekce „informace o firmě“

Tou podstatnou částí je „Jumpshot zprostředkovává vhled do zákaznických online výprav měřením každého vyhledávání, kliknutí a nákupu napříč 1 600 kategoriemi z více než 150 stránek, včetně Amazonu, Googlu, Netflixu a Walmartu“. Data mají být získávána ze 100 milionů zařízení, včetně počítačů a chytrých telefonů.

Podle závěrů redaktorů PCMagu jsou data natolik detailní, že klienti Jumpshotu vidí každý jednotlivý klik uživatele, který při vyhledávání na internetu udělal, včetně časové informace s přesností na milisekundy. A ačkoli tato data nikdy nenesou informaci o e-mailu nebo IP adrese uživatele, jsou opatřeny identifikátorem zařízení, které je neměnné do momentu, než uživatel z tohoto zařízení software od Avastu smaže. 

A zde je ten pověstný „zakopaný pes“.

Podle závěrů šetření totiž klient může tato anonymizovaná data porovnat proti vlastním datům o chování uživatel v jeho službě a snadno tak zjistí třeba to, že ten „anonymní záznam“ o nákupu konkrétních chytrých hodinek v jeho e-shopu přesně na milisekundu odpovídá nákupu konkrétních chytrých hodinek jeho konkrétního uživatele. Všechny získané záznamy se stejným identifikátorem zařízení tak najednou pozbudou anonymity a dostanou konkrétní jméno a třeba v případě e-shopu i adresu, telefon nebo číslo platební karty.

Takto reagoval na článek bývalý zaměstnanec Avastu Petr Dvořák: „OK, je to venku. A co je nejhorší, tohle vše jen pro pět procent z obratu firmy, navzdory sedmdesátiprocentním maržím, které Avast tradičně ve svém hlavním businessu má. Smutný příběh rozpuštění vize, poslušných zaměstnanců a firemní chamtivosti.“

Sběr dat je mnohem širší než vyhledávání na internetu a nákupy v e-shopech, systém sleduje, na jaký obsah se díváte na YouTube, Facebooku a Instagramu. Koukli jste se někdy v „anonymním režimu“ prohlížeče na nějaká obskurní lechtivá videa? I to je součástí obchodovaných dat.

Naboření důvěry

Dalo by se namítat, že soukromí na internetu přece neexistuje a že platí poučka „když je něco zdarma, produktem jste vy“. Je pochopitelné, že třeba Google nevytváří skvělé mapy a navigaci jen proto, že altruisticky chce, abyste pohodlně cestovali, a nic si za to na oplátku nevezme. Vezme – ví, kde se pohybujete, kam chodíte, jak dlouho tam jste, jak často tam jste, jaké služby telefonu s Androidem v těch místech používáte... a je to pro něj obrovsky cenný zdroj velmi podrobných a konkrétních dat.

U anitvirového systému je to trochu něco jiného. Ten si uživatel s důvěrou pustí do systému, udělí mu vysoká oprávnění a prakticky jej nechá úřadovat všude – software pro jeho ochranu to z principu svého fungování potřebuje. Uživatel však neočekává, že toho „ochránce jeho bezpečnosti“ zneužije k velmi podrobnému sledování jeho chování a takto sebraná data prostřednictvím své dceřiné společnosti prodá jiným firmám.

V půlroční uzávěrce za rok 2019 se Avast mimo jiné pochlubil „strategickým...

V půlroční uzávěrce za rok 2019 se Avast mimo jiné pochlubil „strategickým partnerstvím s analytickou firmou Jumpshot“, cílem má být „podchycení dalších příležitostí k růstu“.

O tom, že data nabízená společností Jumpshot pochází z antivirového systému Avastu, se hovořilo již v loňském roce. Jak vypadal instalační průvodce produktu Avast Free Antivirus předtím nevíme (respektive jak vypadala opt-in možnost po jejím přidání v červenci 2019), ale dnes je jedním z kroků „nastavení soukromí“ v této podobě:

Přinejmenším v tuto chvíli je při instalaci Avast Free Antivirus uživatel...

Přinejmenším v tuto chvíli je při instalaci Avast Free Antivirus uživatel dotázán, zda chce svá data sdílet.

Uživatel je zde upozorněn na možnost sdílení s externími partnery, ale zároveň je uklidněn ubezpečením o jejich – podle závěru vyšetřování výše zmíněných magazínů neexistující – anonymitě. Pokud jste při instalaci zvolili „Souhlasím“ nebo si na to již nepamatujete, můžete své rozhodnutí změnit či upřesnit v nastavení programu.

V sekci „nastavení“ - „obecné“ - „sdílení dat“ můžete povolit či zakázat...

V sekci „nastavení“ - „obecné“ - „sdílení dat“ můžete povolit či zakázat sdílení dat o používání se třetími stranami.

Zde můžete podrobněji nastavit například možnost sdílet s Avastem informace o bezpečnostních hrozbách (což dává smysl) a zároveň zakázat sdílení dat jak pro marketingové účely, tak jejich předávání třetím stranám.

Na otázky odpovídat nebudeme

Společnost Avast jsme kontaktovali a poslali osm upřesňujících otázek, na které jsme chtěli znát odpovědi. Z tiskového oddělení Avastu se nám však vrátilo jen strohé „Děkujeme za otázky, na které odpovídat nebudeme. K dispozici je pouze toto prohlášení níže. Díky moc za pochopení.“ 

Prohlášení přetiskujeme v plném znění: 

Prohlášení společnosti Avast

„V prosinci 2019 jsme rychle zareagovali a upravili naše bezpečnostní doplňky prohlížečů, tak aby splňovaly standardy obchodů s doplňky prohlížečů, takže vše nyní plně odpovídá jejich požadavkům. Současně jsme přestali používat jakákoliv data z bezpečnostních doplňků prohlížeče pro jiný účel, než je jádro našeho antivirového programu, včetně sdílení s naší dceřinou společností Jumpshot.

Ujišťujeme, že společnost Jumpshot nezískává osobní identifikační údaje jako jsou jména, e-mailové adresy nebo kontaktní údaje. Uživatelé měli vždy možnost odhlásit se a data se společností Jumpshot nesdílet. Od července 2019 jsme zavedli volbu „opt-in“, tedy možnost pro všechny nové uživatele zvolit si, zda chtějí data sdílet, nebo ne. Nyní také vyzýváme naše stávající uživatele bezplatného antivirového programu, aby se rozhodli pro možnost opt-in nebo opt-out. Tento proces bude dokončen v únoru 2020.

Naše platné Zásady ochrany osobních údajů podrobně popisují způsob ochrany dat, který jsme zavedli pro všechny naše uživatele. Ti si také mohou upravit úroveň ochrany osobních údajů pomocí široké škály nastavení dostupných v našich produktech, včetně kontroly nad jakýmkoli sdílením dat. Globálně jsme se všude, kde působíme, dobrovolně přihlásili k dodržování požadavků na ochranu soukromí GDPR a kalifornského spotřebitelského zákona California Consumer Privacy Act (CCPA).“

Avast má dlouhou historii ochrany zařízení a dat uživatelů před škodlivým malwarem. Vnímáme velmi vážně naši odpovědnost za nalezení rovnováhy mezi soukromím uživatelů a nezbytným používáním dat pro naše základní bezpečnostní produkty.“

29. ledna pak Avast na svém blogu dále uvedl:

„Přestože jsme jednali plně v mezích zákona a stále jsme ostražitě chránili soukromí našich uživatelů, vyslyšeli jsme čerstvou zpětnou vazbu a již jsme podnikli kroky ke splnění očekávání našich uživatelů. Také nadále uvažujeme nad tím, zda analýzy trendů odpovídají našim hodnotám coby společnosti zabývající se kybernetickou bezpečností a ochranou soukromí.“

To, že data získaná bezpečnostními aplikacemi Avastu využívá společnost Jumpshot, vyjádření potvrzuje, stejně jako jako jejich anonymizovanou podobu. O tom, zda lze tato data zpětně deanonymizovat se však (pochopitelně) nezmiňuje.

Nic zcela „free“ neexistuje

Pokud bychom chtěli z celé situace vydestilovat nějaké poučení, nabízí se dvě: 

  • Za produktem nebo službou zdarma se zpravidla skrývá nějaký obchodní plán. Může to být obyčejný proud reklam, který uživatel během používání aplikace sleduje, ale může se také snadno stát, že se produktem stane on sám, respektive jeho konání a chování na internetu, v aplikacích a službách. A není to malý business – například společnost Omnicom Media Group loni zaplatila společnosti Jumpshot za kompletní „All Clicks Feed“ víc než dva miliony dolarů.
  • Nastavení „soukromí“ a „sdílení dat“ se vyplatí neignorovat. Uživatelé v Evropě i Americe jsou v mnoha ohledech chráněni legislativou a na obchodování s informacemi je v ní pamatováno. Provozovatel služby nebo aplikace tak leckdy musí nabídnout uživateli možnost se rozhodnout, zda daná data poskytne, nebo ne, a případně k jakému účelu. Takovou volbu pak často najdete v nastavení v sekci ochrana soukromí nebo sdílení dat.

V tuto chvíli nezbývá než čekat, jak se Avast k výsledkům šetření magazínů PCMag a Motherboard postaví. Ondřej Vlček, generální ředitel společnosti Avast, totiž na firemním diskuzním fóru již v roce 2015 vysvětloval, že součástí zpracování dat, které Jumpsuit nabízí svým klientům, je takzvaná agregace – klienti nedostávají jednotlivé záznamy, ale jejich kompiláty. Bylo by dobré vědět, zda tedy Avast od agregace upustil, nebo ji jen nedělá dostatečně důkladně. Pochybujeme totiž, že by tato část procesu očím vyšetřovatelů z obou magazínů utekla. 

Avast už v prohlášení uvedl, že „vyslyšel zpětnou vazbu“ a zváží, zda „analýzy trendů odpovídají hodnotám společnosti zabývající se ochranou soukromí“. Získat zpět důvěru uživatelů každopádně nebude jednoduché.

Aktualizace: Do článku jsme doplnili nové vyjádření společnosti Avast.

Autoři: ,

Fagradalsfjall online

Sledujte živě aktivní sopku na Islandu. Erupce začala po týdnech otřesů 19. března a zláště pak v noci nabízí fascinující podívanou.

Témata: Avast
  • Nejčtenější

Fanoušek zřejmě vyfotil tajný dron, o kterém se pouze spekulovalo

O tajném projektu výškového stealth dronu Northrop Grumman RQ-180 se spekuluje řadu let. Až nedávno se ho podařilo...

Už se nemusíte bát pomalého zapínání nebo restartování PC

Jedním z nejvíce frustrujících problémů počítačů s operačním systémem Windows se může stát jeho pomalé spouštění. Od...

Bitevníkem načerno. Nenápadný vojenský dříč dostal zuby přes odpor letců

OV-1 Mohawk se stal během své kariéry platformou pro sofistikované průzkumné systémy, ale osvědčil se i v jiných...

Když má umřít Bambi, veřejnost se bouří. I když si to Bambi zaslouží

Neochota zabíjet roztomile a něžně vypadající zvířátka, i když je to zrovna zapotřebí, se může snadno obrátit proti...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Poslední bojový letoun armády USA byl něco mezi sporťákem a stíhačkou

Firma Grumman je známá především námořními letouny. Mezi typy, které jsou neprávem na okraji zájmu, patří nenápadný...

Bláznivý voyeur Tichý. Žil jako bezdomovec, dnes jeho fotky stojí statisíce

Premium V jeho domě se fotky válely po zemi, padal na ně prach i bláto z bot. Na téměř každé z nich byla skvrna od kávy nebo...

Za fotky nehody Philipa nabízeli obří sumu. Neprodal jsem, říká exšéf Kladrub

Premium Když v roce 1996 přijela do Čech britská královna Alžběta II., snad nikdo nemohl velkému milovníkovi koní a jejich...

Svačiny jsou zbytečné. Stačí jíst dvakrát denně, vysvětluje profesor Anděl

Premium Nadváhu má v Česku až 44 procent mužů a 31 procent žen. A obezitu dalších 20 procent mužů a 18 procent žen. Statisíce z...

  • Další z rubriky

Přihlašujte se k Windows pohledem, otiskem prstu i PINem

Svět bez hesel se pro vás může stát už dnes realitou. Stačí využít rozpoznávání obličeje a otisku prstu, či chytrý...

Už se nemusíte bát pomalého zapínání nebo restartování PC

Jedním z nejvíce frustrujících problémů počítačů s operačním systémem Windows se může stát jeho pomalé spouštění. Od...

Českému startupovému projektu Manta pomůže lépe kontrolovat tok dat Neo4j

V roce 2010 vzniklý americký startup Neo4j (Network Exploration and Optimization 4 Java) se zjednodušeně řečeno zabývá...

Zapomenuté heslo k Windows můžete resetovat. Až na výjimku to jde snadno

Zapomenout heslo pro přístup do PC je děsivá představa. Stane-li se to ve Windows, existuje relativně velká šance, že...

Úklid hotový raz dva! Přihlaste se o jeden z 10 mopů 1-2 Spray max od Viledy
Úklid hotový raz dva! Přihlaste se o jeden z 10 mopů 1-2 Spray max od Viledy

Čistá podlaha snadno a rychle? 1-2 Spray max se perfektně hodí na rychlý každodenní úklid, kdy se vám nechce tahat s těžkým kbelíkem vody. Které...

Princ Harry se vrátil do Británie na pohřeb dědečka, karanténu nestihne

Britský princ Harry přiletěl z Los Angeles na pohřeb svého dědečka prince Philipa. Na letišti Heathrow ho v neděli po...

Je to podraz, říká organizátor koncertů Cesta ze tmy. S projektem končí

Už za týden měl prostory pražské Lucerny rozeznít první koncert ze série Cesta ze tmy. Ministr zdravotnictví Petr...

Pohřbít psa na zahradě? Splnit podmínky vyhlášky je téměř nemožné

Chov zvířecího mazlíčka nepřináší jen radosti. Každý bude muset jednou řešit otázku kam s ním, až život jeho čtyřnohého...

U takové svi.. nemusím být inteligentní. Ve Výměně se vyhrožovalo rozvodem

V jedné rodině pohoda, ve druhé napětí a tichá domácnost. Pavlovi s vyměněnou manželkou došlo, že doma může být dobře....

Karel neskrýval, že chce syna, prozradila těhotná Lilia Khousnoutdinova

Lilia Khousnoutdinova (32) a Karel Janeček (47) se za pár týdnů dočkají miminka. Publicistka, návrhářka a cestovatelka...