אנטי וירוס Avast מרגל אחריך. הנה איך

Avast היה אנטי וירוס אחד שעמד במבחן הזמן והוא חינמי כבר כמעט עשור. האנטי וירוס חסר תכונות מתקדמות אבל מספק מספיק כדי לכסות אנשים שלא רוצים לשבור את הכסף עבור תוכנת אנטי וירוס מובחרת. עם זאת, נראה שיש סיבה מדוע Avast היא חינמית וזה לא בגלל שהחברה רוצה שלכולם תהיה גישה לאנטי וירוס.

על פי תחקיר משותף של PCMag ו לוח אם, נראה ש- Avast אוספת את הנתונים שלך כדי לשלם עבור ההוצאות שלהם ותוכנת האנטי-וירוס החינמית. הדוח מסתמך על מסמכים שהודלפו הכוללים נתוני משתמשים, חוזים ומסמכים אחרים של החברה. מסמכים אלו מציגים את מכירת הנתונים הרגישים ביותר שנאספו על ידי החברה. הנתונים העיקריים מגיעים מ-Jumpshot, חברת בת של Avast.

המערכת פועלת בצורה יעילה שבה Avast אוספת את הנתונים ו-Jumpshot אורזת מחדש את הנתונים כדי למכור אותם לשמות הגדולים בתעשיית הטכנולוגיה. רשימת הלקוחות של Jumpshot כוללת את גוגל, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit ועוד רבים אחרים. החברה מספקת חבילה שנקראת "עדכון כל הקליקים" שיכולה לעקוב אחר התנהגות, קליקים ואפילו תנועות בין אתרי אינטרנט. זה עוזר לחברות כמו הום דיפו ואמזון ללמוד את התנהגות המשתמש בדיוק רב כולל הרגלי הקניות והגלישה שלך.

הנתונים שנאספו הם כל כך מפורטים שלקוחות יכולים לראות את הקליקים הבודדים שמשתמשים מבצעים בפגישות הגלישה שלהם, כולל הזמן עד מילי-שניה. ולמרות שהנתונים שנאספו לעולם אינם מקושרים לשם, דואר אלקטרוני או כתובת IP של אדם, בכל זאת כל היסטוריית משתמש מוקצית למזהה הנקרא מזהה המכשיר, שיימשך אלא אם המשתמש יסיר את מוצר האנטי וירוס Avast.

- PCMag

PCMag אמר שהמעקב כולל הכל, החל מגלישה וקניות. לדוגמה, Avast יכולה לעקוב אחר משתמש שגולש דרך אמזון ובוחר מוצר שנרכש לאחר מכן על ידי המשתמש האמור. PCMag מציינת שלמרות שהנתונים נראים לא מזיקים לך ולי, אמזון יכולה לנצל את הזמן המדויק כדי לגלות את המשתמש שביצע את הרכישה. זה ישנה לפתע את הנתונים האנונימיים לכאלה שניתן לזהות.

במבט ראשון, הקליק נראה לא מזיק. אתה לא יכול להצמיד אותו למשתמש מדויק. כלומר, אלא אם כן אתה Amazon.com, שיכול בקלות להבין איזה משתמש אמזון קנה iPad Pro בשעה 12:03:05 ב-1 בדצמבר 2019. לפתע מזהה מכשיר: 123abcx הוא משתמש ידוע. וכל מה שיש ל-Jumpshot על הפעילות של 123abcx - מרכישות אחרות של מסחר אלקטרוני ועד לחיפושים בגוגל - כבר לא אנונימי.

- PCMag

נראה כי מומחי פרטיות מסכימים על העובדה שהנתונים שנאספים על ידי חברות כמו אמזון והנתונים שנאספים על ידי Jumpshot הם די לא מזיקים כשהם נפרדים. עם זאת, הדברים מקבלים תפנית לגרוע ביותר כאשר אתה משלב גם את הנתונים שכן לחברות יש פתאום את כל המידע הדרוש להן כדי לאתר משתמש בודד ואת הרגלי הגלישה/קנייה שלהם.

רוב האיומים הנובעים מדה-אנונימיזציה - כאשר אתה מזהה אנשים - נובעים מהיכולת למזג את המידע עם נתונים אחרים.

אולי הנתונים (Jumpshot) עצמם אינם מזהים אנשים. אולי זו רק רשימה של מזהי משתמש מגובבים וכמה כתובות אתרים. אבל תמיד אפשר לשלב את זה עם נתונים אחרים של משווקים אחרים, מפרסמים אחרים, שבעצם יכולים להגיע לזהות האמיתית.

– גונס אקאר, חוקר פרטיות

למרבה הצער, הגרוע מכל עוד לפנינו. על פי היומנים שנבדקו על ידי PCMag ו- Motherboard, איסוף הנתונים לא מסתיים כאן. נראה כי Avast אספה נתונים על חיפושי נושאים ארציים וכן על נושאים רגישים ביותר כמו העדפות פורנו ואפילו מין לקטינים. זהו פיסת מידע אחת שאף אחד לא רוצה להיות קשור אליה. ובכל זאת המידע הזה קיים ובשילוב עם נתונים אחרים, הם יכולים לאתר את המשתמש המדויק שביצע את החיפוש.

זוהי רק אחת מההצעות הרבות של Jumpshot. ישנם מוצרים המיועדים למעקב אחר אתרי מסחר אלקטרוני, גלישה ביוטיוב ובפייסבוק, מעקב באינסטגרם ועוד. בדצמבר 2018, Omnicom Media Group חתמה על חוזה עם Jumpshot כדי לקבל גישה לחבילת כל הקליקים שלהם. בדרך כלל, Jumpshot מסירה PII (מידע מזהה אישי) ומחליפה אותו במזהה התקן כדי להגן על זיהוי המשתמש. עם זאת, כשזה הגיע ל-Omnicom Media Group, Jumpshot סיפקה את המידע עם PII. לא רק זה, אלא שגם Omnicom Media Group ביקשה מ-Jumpshot לספק נתונים הקשורים למחרוזת ה-URL ואפילו לגיל ולמין של האדם שגלש באינטרנט.

לא ברור מדוע אומניקום רוצה את הנתונים. החברה לא הגיבה לשאלותינו. אבל החוזה מעלה את הסיכוי המטריד ש-Omnicom יכולה לפענח את הנתונים של Jumpshot כדי לזהות משתמשים בודדים.

למרות שאומניקום עצמה לא מחזיקה בפלטפורמת אינטרנט גדולה, נתוני Jumpshot נשלחים לחברה בת בשם Annalect, המציעה פתרונות טכנולוגיים כדי לעזור לחברות למזג את פרטי הלקוחות שלהן עם נתונים של צד שלישי. החוזה לשלוש שנים נכנס לתוקף בינואר 2019, ומעניק לאומניקום גישה לנתוני זרם הקליקים היומיים ב-14 שווקים, כולל ארה"ב, הודו ובריטניה. בתמורה, Jumpshot מקבל תשלום של 6.5 מיליון דולר.

- PC Mag

אין מידע על מספר החברות שיש להן גישה לנתונים. באתר החברה מופיעות יבמ, מיקרוסופט וגוגל כשותפות. עם זאת, מיקרוסופט אישרה כי לחברה אין מערכת יחסים נוכחית. יבמ, לעומת זאת, אמרה כי "אין לה שום תיעוד" להיות אי פעם לקוח של Avast או Jumpshot. גוגל סירבה להגיב בנושא.

ולדימיר פאלנט הוא האדם המקורי שעורר את כל החקירה כשהבחין במשהו מוזר עם הרחבות הדפדפן של חברת האנטי-וירוס: הם רשמו כל אתר שביקר בו לצד מזהה משתמש ושלחו את המידע ל-Avast. כשנזעקה, Mozilla ו-Google הסירו את התוסף שנוסף מאוחר יותר כאשר Avast הוסיפה תכונות פרטיות חדשות לתוסף.

אגרגציה משמעה בדרך כלל שהנתונים של מספר משתמשים משולבים. אם לקוחות Jumpshot עדיין יכולים לראות נתונים של משתמשים בודדים, זה ממש גרוע.

קשה לדמיין שכל אלגוריתם אנונימיזציה יוכל להסיר את כל הנתונים הרלוונטיים. פשוט יש יותר מדי אתרים בחוץ, וכל אחד מהם עושה משהו אחר.

– ולדימיר פלנט, חוקר אבטחה

זה כמעט בלתי אפשרי לבטל את זיהוי הנתונים. זה פשוט נשמע כמו נוהג עסקי נורא. הם אמורים להגן על הצרכנים מפני איומים, במקום לחשוף אותם לאיומים.

– אריק גולדמן, מנהל משותף של המכון למשפטי הייטק באוניברסיטת סנטה קלרה

גם PC Mag וגם Motherboard ניסו לפנות אל Avast ו-Jumpshot להבהרות אך הם לא קיבלו תשובה. Avast אכן אמרה שהחברה לא תאסוף עוד נתונים למטרות שיווק.

הפסקנו לחלוטין את הנוהג של שימוש בנתונים כלשהם מהרחבות הדפדפן לכל מטרה אחרת מלבד מנוע האבטחה המרכזי, כולל שיתוף עם Jumpshot...

למשתמשים תמיד הייתה את היכולת לבטל את שיתוף הנתונים עם Jumpshot. החל מיולי 2019, כבר התחלנו ליישם בחירה מפורשת עבור כל ההורדות החדשות של ה-AV (אנטי-וירוס), וכעת אנו גם מבקשים מהמשתמשים החינמיים הקיימים שלנו לבצע בחירה מפורשת, תהליך שיושלם ב- פברואר 2020

– אווסט

בעת התקנת Avast, החברה אכן שואלת את המשתמשים "אכפת לך לשתף אותנו בנתונים?" לאחר מכן, החלון הקופץ ימשיך לומר לך שהנתונים שנאספו יבוטלו ויצטברו כדרך להגן על פרטיותך. עם זאת, החלון הקופץ אינו חושף מידע על תהליך ביטול הזיהוי או כיצד הנתונים בשילוב עם מידע אחר יכולים לחשוף את זהותך האמיתית. יתר על כן, Motherboard שאל את משתמשי Avast על כך ורובם אמרו שאין להם מושג לגבי מדיניות איסוף הנתונים וכיצד נעשה בו שימוש.

השורה התחתונה היא שעדיף לשלם עבור התוכנה כדי להבטיח את הפרטיות שלך. יתרה מכך, תמיד כדאי לקרוא את הצהרת הפרטיות ולהבטיח שהנתונים שנאספו מטופלים בזהירות. לאחר בחינת המקרה, אנו ממליצים למשתמשים שלנו להסיר את ההתקנה של Avast או AVG באופן מיידי. עבור משתמשי Windows 10, Windows Defender של מיקרוסופט עצמו מספק כמעט את כל תכונות האבטחה הדרושים לאדם. מלבד זאת, אתה יכול ללכת עם Malwarebytes להגנה מתקדמת או לקנות את אחד מאנטי-וירוס הפרימיום הקיימים בשוק. לעולם איננו ממליצים להתקין תוכנה חינמית עד שאתה בטוח לחלוטין לגבי המדיניות שלהם, במיוחד כשמדובר בטיפול בחלקים קריטיים של המחשב שלך כמו אבטחה ופרטיות.