آنتی ویروس شما باید از شما محافظت کند ، اما اگر تاریخچه مرورگر خود را به یک شرکت بزرگ بازاریابی تحویل دهد ، چه می کنید؟
آروم باش. این همان چیزی است که Avast پس از یافتن پسوندهای مرورگر خود در جمع آوری اطلاعات کاربران برای تهیه به بازاریابان ، به مردم گفت. ماه گذشته ، شرکت آنتی ویروس سعی کرد این روش را توجیه کند و ادعا کند که تاریخچه وب جمع آوری شده قبل از انتقال اطلاعات شخصی کاربران از آنها سلب شده است.
Avast به کاربرانی که اشتراک در داده ها را انتخاب می کنند گفت: "داده ها کاملاً شناسایی و جمع آوری شده اند و نمی توانند برای شناسایی یا هدف قرار دادن شما مورد استفاده قرار گیرند." در عوض ، حریم خصوصی شما حفظ می شود ، حقوق Avast پرداخت می شود ، و بازاریاب های آنلاین تعداد زیادی از داده های "جمع" مصرف کننده را برای کمک به آنها در فروش محصولات بیشتر دریافت می کنند.
فقط یک مشکل وجود دارد: براساس یک تحقیق مشترک توسط PCMag و Motherboard ، آنچه می تواند یک قطعه عظیم از داده های تاریخچه وب بی نام باشد را می توان جدا کرد و به کاربران شخصی Avast متصل کرد.
چگونه "شناسایی غیرمجاز" می تواند شکست بخورد
بخش Avast متهم به فروش داده ها ، شرکت Jumpshot است ، یک شرکت تابعه از 100 میلیون دستگاه از جمله رایانه های شخصی و تلفن ها ، دسترسی به ترافیک کاربران را ارائه داده است. در عوض ، مشتریان – از مارک های بزرگ گرفته تا ارائه دهندگان تجارت الکترونیکی – می توانند آنچه را که مصرف کنندگان می خرند و از کجا ، از جستجوی گوگل یا آمازون ، تبلیغات از یک مقاله خبری یا پستی در اینستاگرام ، بیاموزند.
داده های جمع آوری شده آنقدر دانه ریز است که مشتریان می توانند کلیک های منفردی را که کاربران در جلسات مرور خود انجام می دهند مشاهده کنند ، از جمله زمان تا میلی ثانیه. و در حالی که داده های جمع آوری شده هرگز به نام ، ایمیل یا آدرس IP شخص پیوند نمی خورند ، با این وجود هر سابقه کاربر به شناسه ای به نام ID دستگاه اختصاص داده می شود ، که تا زمانی که کاربر محصول ضد ویروس Avast را حذف نصب نکند ، ادامه خواهد یافت.
به عنوان مثال ، با یک کلیک می توان از لحاظ نظری به این شکل بود:
شناسه دستگاه: abc123x تاریخ: 2019/12/01 دقیقه چند ثانیه: 12:03:05 دامنه: Amazon.com محصول: Apple iPad Pro 10.5 – 2017 Model – 256 GB، Rose Gold رفتار: افزودن به سبد خرید
در نگاه اول ، کلیک بی ضرر به نظر می رسد. نمی توانید آن را به یک کاربر دقیق پین کنید. یعنی ، مگر اینکه شما Amazon.com باشید ، به راحتی می توانید بفهمید کدام کاربر آمازون ساعت 12:03:05 اول دسامبر 2019 یک iPad Pro خریداری کرده است. ناگهان شناسه دستگاه: 123abcx کاربر شناخته شده ای است. و هر چیز دیگری که Jumpshot در زمینه فعالیت 123abcx دارد – از سایر خریدهای تجارت الکترونیکی گرفته تا جستجوهای Google – دیگر ناشناس است.
PCMag و Motherboard در مورد جزئیات مربوط به جمع آوری داده ها از منبعی آشنا با محصولات Jumpshot اطلاعات کسب کردند. و کارشناسان حریم خصوصی که با آنها صحبت کردیم موافقت کردند که برای نشان دادن هویت شخصی ، می توان اطلاعات مربوط به مهر زمان ، شناسه های مداوم دستگاه و URL های جمع آوری شده را تجزیه و تحلیل کرد.
گونس آکار ، یک محقق در زمینه حفظ حریم خصوصی که در زمینه ردیابی آنلاین مطالعه می کند ، گفت: "بیشتر تهدیدات ناشی از گمنام زدایی – جایی که افراد را شناسایی می کنید – ناشی از توانایی ادغام اطلاعات با داده های دیگر است."
وی خاطرنشان كرد كه شركتهای بزرگی مانند آمازون ، گوگل و خرده فروشان مارك دار و شركتهای بازاریابی می توانند گزارش فعالیتهای كامل کاربران خود را جمع كنند. با داده های Jumpshot ، این شرکت ها راهی دیگر برای ردیابی ردپای دیجیتالی کاربران در اینترنت دارند.
آکار گفت: "شاید خود داده های (Jumpshot) شناسایی افراد نباشد." "شاید این فقط لیستی از شناسه های کاربر پاک شده و برخی از URL ها باشد. اما همیشه می تواند با داده های دیگر بازاریابان ، تبلیغ کنندگان دیگر که اساساً می توانند به هویت واقعی برسند ، ترکیب شود."
"خوراک همه کلیک ها"
براساس اسناد داخلی ، Jumpshot محصولات متنوعی را ارائه می دهد که داده های مرورگر جمع آوری شده را به روش های مختلف ارائه می دهد. به عنوان مثال ، یک محصول بر جستجوهایی است که افراد انجام می دهند ، از جمله کلمات کلیدی مورد استفاده و نتایج کلیک شده.
ما یک عکس فوری از داده های جمع آوری شده مشاهده کردیم ، و سیاهههای مربوط به موضوعات روزمره و روزمره را با نمایش داده شد. اما همچنین جستجوهای حساس برای پورنو – از جمله رابطه جنسی زیر سن قانونی – وجود داشت که هیچ کس نمی خواهد با آنها مرتبط باشد.
سایر محصولات Jumpshot برای ردیابی فیلم هایی که کاربران در YouTube ، Facebook و Instagram مشاهده می کنند ، طراحی شده اند. یکی دیگر از حول تجزیه و تحلیل دامنه تجارت الکترونیکی انتخاب شده است تا به بازاریابان کمک کند درک کنند که کاربران چگونه به آن دسترسی پیدا می کنند.
اما در مورد یک مشتری خاص ، به نظر می رسد Jumpshot دسترسی به همه چیز را ارائه داده است. در دسامبر 2018 ، Omnicom Media Group ، یک ارائه دهنده عمده بازاریابی ، قراردادی را امضا کرد تا آنچه را که "همه خوراک کلیک ها" نامیده می شود یا هر کلیک در حال جمع آوری Jumpshot از کاربران Avast است ، دریافت کند. در کتابچه راهنمای محصولات Jumpshot ، به طور معمول ، خوراک همه کلیک ها بدون شناسه دستگاه فروخته می شود "برای محافظت در برابر مثلث بندی PII (اطلاعات قابل شناسایی شخصی)." اما وقتی نوبت به Omnicom می رسد ، طبق قرارداد ، Jumpshot در حال تحویل محصول با شناسه های دستگاه متصل به هر کلیک است.
علاوه بر این ، قرارداد از Jumpshot می خواهد تا رشته URL هر سایت بازدید شده ، URL مراجعه کننده ، مهر زمان تا میلی ثانیه ، همراه با سن و جنسیت کاربر مشکوک را تأمین کند ، که می تواند براساس سایت های مورد نظر شخص استنباط شود. بازدید.
مشخص نیست که چرا Omnicom این داده ها را می خواهد. این شرکت به سوالات ما پاسخ نداد. اما این قرارداد چشم انداز نگران کننده ای را ایجاد می کند که Omnicom می تواند داده های Jumpshot را برای شناسایی کاربران فردی باز کند.
اگرچه Omnicom خود دارای یک بستر اینترنتی عمده نیست ، داده های Jumpshot به یک شرکت تابعه به نام Annalect ارسال می شود ، شرکت ارائه دهنده راه حل های فناوری برای کمک به شرکت ها ادغام اطلاعات مشتری خود را با سوم داده های حزب. این قرارداد سه ساله در ژانویه 2019 به اجرا درآمد و به Omnicom امکان دسترسی به داده های جریان کلیک روزانه در 14 بازار از جمله ایالات متحده ، هند و انگلیس را می دهد. در عوض ، به Jumpshot 6.5 میلیون دلار دستمزد می گیرند.
چه کسی ممکن است به داده های Jumpshot دسترسی داشته باشد همچنان نامشخص است. وب سایت این شرکت می گوید که با مارک های دیگر از جمله IBM ، Microsoft و Google کار کرده است. با این حال ، مایکروسافت گفت که هیچ ارتباط فعلی با Jumpshot ندارد. از طرف دیگر ، IBM "سابقه" مشتری بودن Avast یا Jumpshot را ندارد. Google به درخواستی برای نظر پاسخ نداد.
سایر مشتریانی که در بازاریابی Jumpshot ذکر شده اند ، علاوه بر ارائه دهنده TurboTax Intuit ، شرکت های کالاهای مصرفی Unilever ، Nestle Purina و Kimberly-Clark را تحت پوشش قرار می دهند. همچنین شرکت های تحقیقاتی و مشاوره ای در زمینه تحقیقات و مشاوره بازار McKinsey & Company و GfK نامگذاری شده اند که از اظهار نظر در مورد همکاری خود با Jumpshot خودداری کردند. تلاش برای تأیید سایر روابط مشتری با هیچ پاسخی مواجه نشد. اما اسنادی که به دست آوردیم نشان می دهد داده های Jumpshot احتمالاً به شرکت های سرمایه گذاری خطرپذیر می رود.
"شناسایی داده ها تقریباً غیرممکن است"
ولادیمیر پالانت محقق امنیتی است که در ابتدا ماه گذشته مورد بررسی عمومی سیاست های جمع آوری داده Avast قرار گرفت. در ماه اکتبر ، او متوجه موارد عجیب و غریب با برنامه های افزودنی مرورگر شرکت آنتی ویروس شد: آنها هر وب سایتی را که بازدید می کرد همراه با شناسه کاربر ثبت می کردند و اطلاعات را به Avast ارسال می کردند.
این یافته ها وی را بر آن داشت تا از برنامه های افزودنی به عنوان جاسوسی استفاده کند. در پاسخ ، گوگل و موزیلا موقتاً آنها را حذف کردند تا اینکه Avast از محافظت از حریم خصوصی جدید استفاده کرد. با این حال ، هنگامی که شرکت آنتی ویروس از افشای دقیق مراحل فنی دقیق توسط شرکت آنتی ویروس خودداری می کند ، Palant در تلاش بوده است که منظور Avast را درک کند ، وقتی می گوید تاریخچه مرورگر کاربران "شناسایی نمی کند" و "آنها را جمع می کند".
پالانت در مصاحبه ای از طریق ایمیل گفت: "تجمع به طور معمول به معنای ترکیب داده های چندین کاربر است. اگر مشتریان Jumpshot هنوز می توانند داده های تک تک کاربران را ببینند ، این واقعاً بد است."
یکی از محافظانی که Jumpshot برای جلوگیری از تعیین هویت واقعی کاربران Avast توسط مشتری استفاده می کند ، فرایند ثبت اختراعی است که برای از بین بردن اطلاعات PII ، مانند نام و آدرس ایمیل ، در URL های جمع آوری شده طراحی شده است. اما حتی با حذف PII ، Palant می گوید که جمع آوری داده ها هنوز هم کاربران Avast را بی نیاز در معرض خطرات حریم خصوصی قرار می دهد.
وی گفت: "دشوار است تصور کنید كه هر الگوریتم ناشناس سازی بتواند تمام داده های مربوطه را از بین ببرد. وب سایت های زیادی وجود دارد كه هر كدام متفاوت عمل می كنند." به عنوان مثال ، Palant به این نکته اشاره می کند که چگونه بازدید از پیوندهای URL جمع آوری شده برای یک کاربر می تواند به طور مداوم نشان دهد که شخص در مورد چه توییت ها یا ویدیوهایی نظر داده است و بنابراین هویت واقعی کاربر را افشا می کند.
اریک گلدمن ، مدیر مشترک موسسه حقوقی فناوری پیشرفته در دانشگاه سانتا کلارا ، که همچنین با یک شرکت آنتی ویروس که از اطلاعات کاربران درآمد کسب می کند ، گفت: "شناسایی داده ها تقریباً غیرممکن است." "این فقط یک کار وحشتناک تجاری به نظر می رسد. آنها قرار است به جای اینکه آنها را در معرض تهدید قرار دهند ، از مصرف کنندگان در برابر تهدیدات محافظت کنند."
"ذهن برخی از داده ها را با ما به اشتراک بگذارید؟"
ما از Avast بیش از دوازده س collectedال در مورد میزان داده های جمع آوری شده ، با آنها به اشتراک گذاشته شده ، همراه با اطلاعات مربوط به قرارداد Omnicom پرسیدیم. از پاسخ دادن به بیشتر س questionsالات ما یا ارائه تماس با Jumpshot ، که به تماس ها یا ایمیل های ما پاسخ نمی داد ، خودداری کرد. با این حال ، Avast گفت که جمع آوری داده های کاربر را برای اهداف بازاریابی از طریق افزونه های مرورگر Avast و AVG متوقف کرده است.
این شرکت در بیانیه ای گفت: "ما كاملاً استفاده از هرگونه داده از برنامه های افزودنی مرورگر را برای هر منظور دیگری غیر از موتور اصلی امنیت ، از جمله به اشتراک گذاری با Jumpshot ، متوقف كردیم."
با این وجود ، بخش Jumpshot Avast همچنان می تواند تاریخچه مرورگر شما را از طریق برنامه های اصلی ضد ویروس Avast در دسک تاپ و موبایل جمع آوری کند. این شامل آنتی ویروس AVG است که Avast نیز مالک آن است. برداشت داده ها از طریق جز component Web Shield نرم افزار انجام می شود که همچنین URL ها را در مرورگر شما اسکن می کند تا وب سایت های مخرب یا جعلی را شناسایی کند.
به همین دلیل ، PCMag دیگر نمی تواند Avast Free Antivirus را به عنوان گزینه ویرایشگر در گروه محافظت از آنتی ویروس رایگان توصیه کند.
اینکه آیا این شرکت برای محافظت از شما واقعاً به URL های شما احتیاج دارد ، جای بحث دارد. Avast می گوید که گرفتن مستقیم اطلاعات و اجازه دادن به سرورهای ابری Avast بلافاصله آنها را اسکن می کند "لایه های امنیتی بیشتری" به کاربران ارائه می دهد. اما طبق گفته گونس آکار ، محقق حفظ حریم خصوصی ، همان روش خطرات خاص خود را دارد که گفت ، امن ترین راه برای پردازش URL های بازدید شده جمع آوری هرگز این آدرس ها نیست. به عنوان مثال ، API مرور ایمن Google ، یک لیست سیاه به روز شده از وب سایت های نامناسب را به مرورگر دستگاه شما می فرستد ، بنابراین URL ها را می توان در دستگاه خود بررسی کرد تا از طریق ابر.
آکار گفت: "این می تواند به روش خصوصی تری انجام شود." "Avast قطعاً باید این را قبول کند. اما به نظر می رسد که آنها در تجارت کسب درآمد از URL هستند."
از طرف دیگر ، Avast یک محصول ضد ویروس رایگان ارائه می دهد. این شرکت همچنین اشاره دارد که مجموعه تاریخچه مرورگر اختیاری است. می توانید آن را هنگام نصب یا درون پانل تنظیمات خاموش کنید.
"کاربران همیشه توانایی انصراف از به اشتراک گذاری داده ها با Jumpshot را داشتند. از ژوئیه 2019 ، ما قبلاً برای همه بارگیری های جدید AV (آنتی ویروس) انتخاب صحیح انتخاب را آغاز کرده بودیم ، و اکنون نیز ما را راهنمایی می کنیم کاربران رایگان موجود برای انتخاب صریح ، فرایندی که در فوریه سال 2020 تکمیل خواهد شد ، "این شرکت گفت.
در واقع ، هنگامی که آنتی ویروس Avast یا AVG را روی رایانه شخصی ویندوز نصب می کنید ، این محصول به شما یک پنجره بازشو نشان می دهد: "ذهن به اشتراک گذاری برخی اطلاعات با ما؟ " سپس پنجره بازشو ادامه می دهد تا به شما بگوید داده های جمع آوری شده به عنوان راهی برای محافظت از حریم خصوصی شما شناسایی و جمع می شود.
با این حال ، هیچ اشاره ای در مورد چگونگی ترکیب داده های مشابه با سایر اطلاعات برای اتصال هویت شما به تاریخچه مرورگر جمع آوری نشده است. همچنین در پنجره بازشو ذکر نشده است که چگونه Jumpshot می تواند به مدت سه سال دسترسی به داده ها را حفظ کند. برای این جزئیات ، باید به چاپ خوب سیاست حفظ حریم خصوصی Avast بپردازید.
در نتیجه ، کاربرانی که پنجره بازشو را مشاهده می کنند ممکن است تصور کنند از داده های آنها محافظت می شود و درصورت انتخاب ، سیاست های حفظ حریم خصوصی درمورد محصولات فناوری اغلب به عمد مبهم و ساده می شوند. کیم فن ، یکی از شرکای حقوقی Ballard Spahr ، که در گروه امنیت اطلاعات و حریم خصوصی کار می کند ، گفت: "شما می خواهید مصرف کننده کالای شما را بخرد یا استفاده کند. اما شما هم نمی خواهید آنها را بترسانید."
معامله این است که سیاست ها می توانند مات شوند. وی افزود: "فهمیدن اینکه چه کاری انجام می دهید دشوارتر است" "مردم قادر به درک جزئیات نخواهند بود ، یا فکر می کنند شما سعی دارید چیزی را پنهان کنید."
در مورد آواست ، بحث و جدال پیرامون شیوه های جمع آوری اطلاعات عمدتا ناشناخته ، بررسی کافی را به دنبال داشت که سناتور آمریكایی رون ویدن تصمیم به تحقیق در مورد آن گرفت. وی در آن زمان در توئیتی نوشت: "آمریكایی ها انتظار دارند كه نرم افزار امنیت سایبری و حریم خصوصی از داده های آنها محافظت كند ، نه اینكه آنها را به بازاریابان بفروشند."
در بیانیه ای ، ویدن گفت که از اینکه Avast به جمع آوری داده ها از طریق پسوندهای مرورگر این شرکت خاتمه می دهد ، ابراز خوشحالی می کند. وی افزود: "اما من نگران هستم كه Avast هنوز متعهد به حذف داده های كاربران جمع آوری شده و بدون رضایت كاربران خود و یا پایان فروش اطلاعات حساس مرور اینترنت نبوده است." "تنها اقدام مسئول ، شفافیت کامل در جهت پیشبرد مشتری و پاکسازی اطلاعاتی است که در گذشته در شرایط مشکوک جمع آوری شده است."
30/1 به روزرسانی: پس از آنکه تحقیقات مشترک PCMag و مادربرد موجی ایجاد کرد ، از جمله سناتور مارک وارنر که FTC را بخاطر انداختن توپ بر نظارت مجازات می کند ، Avast اعلام کرد عملیات در Jumpshot را متوقف می کند. "به عنوان مدیرعامل Avast ، من شخصاً احساس مسئولیت می كنم و می خواهم از همه افراد معذرت خواهی كنم ،" Ondrej Vlcek در بیانیه ای گفت.
خواندن بیشتر
بررسی های آنتی ویروس
بهترین انتخاب آنتی ویروس
