Denuncian a antivirus por venta de base de datos

Avast afirma tener más de 435 millones de usuarios activos por mes , y Jumpshot dice que tiene datos de 100 millones de dispositivos.

Avast recopila datos de los usuarios que se suscriben y luego se los proporciona a Jumpshot, pero varios usuarios de Avast le dijeron a Motherboard que no sabían que Avast vendía datos de navegación, lo que genera preguntas sobre cuán informado está ese consentimiento.

Los datos obtenidos por Motherboard y PCMag incluyen búsquedas en Google, búsquedas de ubicaciones y coordenadas GPS en Google Maps, personas que visitan las páginas de LinkedIn de las empresas, videos particulares de YouTube y personas que visitan sitios web porno.

Es posible determinar a partir de los datos recopilados qué fecha y hora visitó YouPorn y PornHub el usuario anónimo, y en algunos casos qué término de búsqueda ingresaron al sitio porno y qué video específico vieron.

¿Conoces alguna otra empresa que venda datos? Nos encantaría saber de usted. Usando un teléfono o computadora que no sea de trabajo, puede comunicarse con Joseph Cox de forma segura en Signal al +44 20 8133 5190, Wickr en josephcox, chat OTR en jfcox@jabber.ccc.de o enviar un correo electrónico a joseph.cox@vice.com.

Aunque los datos no incluyen información personal como los nombres de los usuarios, aún contienen una gran cantidad de datos de navegación específicos, y los expertos dicen que podría ser posible desanonizar a ciertos usuarios.

En un comunicado de prensa de julio , Jumpshot afirma ser “la única compañía que desbloquea datos de jardines amurallados” y busca “proporcionar a los vendedores una visibilidad más profunda de todo el recorrido del cliente en línea”. Jumpshot ha discutido previamente algunos de sus clientes públicamente . Pero otras compañías mencionadas en los documentos de Jumpshot incluyen Expedia, IBM, Intuit, que fabrica TurboTax, Loreal y Home Depot. Los empleados tienen instrucciones de no hablar públicamente sobre las relaciones de Jumpshot con estas empresas.

“Es muy granular y es una gran información para estas compañías, porque se reduce al nivel del dispositivo con una marca de tiempo”, dijo la fuente, refiriéndose a la especificidad y sensibilidad de los datos que se venden. Motherboard otorgó el anonimato de la fuente para hablar con más franqueza sobre los procesos de Jumpshot.

Hasta hace poco, Avast estaba recopilando los datos de navegación de sus clientes que habían instalado el complemento de navegador de la compañía, que está diseñado para advertir a los usuarios de sitios web sospechosos.

El investigador de seguridad y creador de AdBlock Plus, Wladimir Palant, publicó una publicación de blog en octubre que muestra que Avast cosecha datos de usuario con ese complemento. Poco después, los fabricantes de navegadores Mozilla, Opera y Google eliminaron las extensiones AVG de Avast y subsidiarias de sus respectivas tiendas de extensiones de navegador.

Avast ya había explicado esta recopilación y uso compartido de datos en una publicación de blog y foro en 2015. Desde entonces, Avast dejó de enviar datos de navegación recopilados por estas extensiones a Jumpshot, dijo Avast en un comunicado a Motherboard y PCMag.

Sin embargo, la recopilación de datos está en curso, indican la fuente y los documentos.

En lugar de recopilar información a través del software conectado al navegador, Avast lo hace a través del software antivirus en sí.

La semana pasada, meses después de que se descubrió que usaba las extensiones de su navegador para enviar datos a Jumpshot, Avast comenzó a pedir a sus consumidores de antivirus gratuitos existentes que optaran por la recopilación de datos, según un documento interno.

“Si optan, ese dispositivo se convierte en parte del Panel Jumpshot y toda la actividad de Internet basada en el navegador se informará a Jumpshot”, se lee en un manual interno del producto.

“¿Qué URL visitaron estos dispositivos, en qué orden y cuándo?” agrega, resumiendo qué preguntas puede responder el producto.

El senador Ron Wyden, quien en diciembre le preguntó a Avast por qué estaba vendiendo los datos de navegación de los usuarios, dijo en un comunicado; “Es alentador que Avast haya finalizado algunas de sus prácticas más problemáticas después de comprometerse constructivamente con mi oficina.

Sin embargo, me preocupa que Avast aún no se ha comprometido a eliminar los datos del usuario que se recopilaron y compartieron sin el consentimiento de sus usuarios, ni a finalizar la venta de datos confidenciales de navegación en Internet.

El único curso de acción responsable es ser totalmente transparente con los clientes en el futuro. , y para purgar los datos que se recopilaron bajo condiciones sospechosas en el pasado “.

A pesar de que Avast actualmente solicita a los usuarios que opten nuevamente por la recopilación de datos a través de una ventana emergente en el software antivirus, varios usuarios de Avast dijeron que no sabían que Avast estaba vendiendo datos de navegación.

“No estaba al tanto de esto”, dijo Keith, un usuario del producto antivirus gratuito Avast que solo proporcionó su nombre de pila, a Motherboard.

“Eso suena aterrador. Por lo general, digo no al seguimiento de datos”, dijeron, y agregaron que todavía no han visto la nueva ventana emergente de Avast.

“No sabía que hicieron eso :(“, dijo otro usuario antivirus gratuito de Avast en un mensaje directo de Twitter.

Motherboard y PCMag contactaron a más de dos docenas de compañías mencionadas en documentos internos. Solo unos pocos respondieron a preguntas sobre qué hacen con los datos basados ​​en el historial de navegación de los usuarios de Avast.

“A veces utilizamos información de proveedores externos para ayudar a mejorar nuestro negocio, productos y servicios. Exigimos que estos proveedores tengan los derechos apropiados para compartir esta información con nosotros. En este caso, recibimos datos de audiencia anonimizados, que no pueden utilizarse para identificar clientes individuales “, escribió un portavoz de Home Depot en un comunicado enviado por correo electrónico.

Microsoft se negó a comentar los detalles de por qué compró productos de Jumpshot, pero dijo que no tiene una relación actual con la compañía. Un portavoz de Yelp escribió en un correo electrónico: “En 2018, como parte de una solicitud de información por parte de las autoridades antimonopolio, se le pidió al equipo de políticas de Yelp que estimara el impacto del comportamiento anticompetitivo de Google en el mercado de búsqueda local. base para generar un informe de datos de tendencias anónimos de alto nivel que validaron otras estimaciones del desvío de tráfico de Google desde la web. No se solicitó ni se accedió a PII “.

“Cada búsqueda. Cada clic. Cada compra. En cada sitio”.

Southwest Airlines dijo que mantuvo conversaciones con Jumpshot pero no llegó a un acuerdo con la compañía. IBM dijo que no tenía antecedentes de ser cliente, y Altria dijo que no está trabajando con Jumpshot, aunque no especificó si lo hizo anteriormente. Sephora dijo que no ha funcionado con Jumpshot. Google no respondió a una solicitud de comentarios.

En su sitio web y en los comunicados de prensa, Jumpshot nombra a Pepsi , y consulta a los gigantes Bain & Company y McKinsey como clientes.

Además de Expedia, Intuit y Loreal, otras compañías que no se mencionan en los anuncios públicos de Jumpshot incluyen la compañía de café Keurig, el servicio de promoción de YouTube vidIQ y la firma de información al consumidor Hitwise. Ninguna de esas compañías respondió a una solicitud de comentarios.

En su sitio web, Jumpshot enumera algunos estudios de casos anteriores para usar sus datos de navegación. La revista y el gigante de los medios digitales Condé Nast, por ejemplo , utilizaron los productos de Jumpshot para ver si los anuncios de la compañía de medios dieron como resultado más compras en Amazon y en otros lugares. Condé Nast no respondió a una solicitud de comentarios.

TODOS LOS CLICKS

Jumpshot vende una variedad de productos diferentes basados ​​en los datos recopilados por el software antivirus de Avast instalado en las computadoras de los usuarios. Los clientes en el sector de finanzas institucionales a menudo compran una fuente de los 10,000 principales dominios que los usuarios de Avast están visitando para tratar de detectar tendencias, dice el manual del producto.

Otro producto de Jumpshot es el denominado “All Click Feed” de la compañía. Permite a un cliente comprar información sobre todos los clics que Jumpshot ha visto en un dominio particular, como Amazon.com, Walmart.com, Target.com, BestBuy.com o Ebay.com.

En un tweet enviado el mes pasado con la intención de atraer a nuevos clientes , Jumpshot señaló que recopila “Cada búsqueda. Cada clic. Cada compra. En cada sitio ” [énfasis de Jumpshot.]

Los datos de Jumpshot podrían mostrar cómo alguien con el antivirus Avast instalado en su computadora buscó un producto en Google, hizo clic en un enlace que fue a Amazon y luego quizás agregó un artículo a su carrito en un sitio web diferente, antes de finalmente comprar un producto, el fuente que proporcionó los documentos explicados.

Una empresa que compró All Clicks Feed es la firma de marketing Omnicom Media Group, con sede en Nueva York, según una copia de su contrato con Jumpshot. Omnicom pagó a Jumpshot $ 2,075,000 por el acceso a los datos en 2019, según el contrato. También incluyó otro producto llamado “Insight Feed” para 20 dominios diferentes. La tarifa por los datos en 2020 y luego en 2021 figura en $ 2,225,000 y $ 2,275,000 respectivamente, agrega el documento.

Fuente: vice.com