یک شرکت زیر مجموعه آنتی ویروس ” Avast” هر کلیک، هر خرید و هر جستجو در هر سایت را می فروشد. مشتریان این شرکت شامل Home Depot ، Google ، Microsoft ، Pepsi و McKinsey هستند.

یک برنامه آنتی ویروس که توسط صدها میلیون نفر در سراسر جهان استفاده می شود ، داده های بسیار حساس وب گردی کاربران خود را به بسیاری از بزرگترین شرکت های دنیا می فروشد ، یک تحقیق مشترک توسط مادربورد و PCMag نشان داده است. گزارش ما متکی بر داده های کاربر ، قراردادها و سایر اسناد شرکت است که نشان می دهد فروش این داده ها بسیار حساس است و در بسیاری از موارد قرار است محرمانه بین شرکت فروشنده و مشتریانی که این داده ها را خریداری می کنند باقی بماند.

این اسناد ، از زیرمجموعه ای از غول های ضد ویروس Avast موسوم به Jumpshot ، به روشنی از عرضه محرمانه تاریخچه وب گردی کاربران خبر میدهد. این اسناد نشان می دهند که برنامه آنتی ویروس Avast که روی رایانه شخصی کاربر نصب شده است ، داده هایی را جمع آوری می کند ، و این که Jumpshot آن را در محصولات مختلف مختلف بسته بندی می کند که بعدا به بسیاری از بزرگترین شرکت های جهان فروخته می شوند. برخی از مشتریان قبلی ، حال و مشتری بالقوه این شرکت شامل Google ، Yelp ، Microsoft ، McKinsey ، Pepsi ، Sephora ، Home Depot ، Condé Nast ، Intuit و بسیاری موارد دیگر هستند. برخی از مشتری ها میلیون ها دلار برای محصولاتی که شامل به اصطلاح “همه کلیکهای کاربر” است پرداخت می کنند که می توانند رفتار ، کلیک و حرکت کاربر را با جزئیات بسیار دقیق ردیابی کنند.

Avast ادعا می کند که بیش از 435 میلیون کاربر فعال در هر ماه دارد ، و Jumpshot می گوید که از 100 میلیون دستگاه داده جمع آوری کرده است . Avast داده هایی را از کاربرانی که با قوانین استفاده از این آنتی ویروس موافقت می کنند جمع آوری می کند و سپس آن را در اختیار Jumpshot قرار می دهد ، اما چندین کاربر Avast به مادربورد گفتند که آنها نمی دانند Avast داده های مرور را به فروش می رساند که این موضوع سؤالاتی را در مورد چگونگی آگاهی از این وضعیت فاش میکند.

داده های به دست آمده توسط مادربورد و  PCMag  شامل جستجوی گوگل ، جستجوی مکان ها و مختصات GPS در نقشه های Google ، بازدید افراد از صفحات LinkedIn شرکت ها ، ویدئوهای YouTube ، و افرادی که از وب سایت های بزرگسالان بازدید می کنند را شامل میشود. می توان از داده های جمع آوری شده مشخص کرد که کاربر ناشناس در چه تاریخی و زمانی از YouPorn و سایتهای دیگر بازدید کرده است ، و در برخی موارد چه اصطلاح جستجو را وارد سایت کرده و کدام فیلم خاص را تماشا کرده است.

اگرچه داده ها شامل اطلاعات شخصی مانند نام کاربران نیستند ، اما هنوز هم دارای تعداد زیادی از داده های مشخص از وب گردی کاربران هستند ، و کارشناسان می گویند که امکان یافتن نام برخی کاربران موردنظر وجود دارد.

در یک بیانیه مطبوعاتی از ماه ژوئیه ، Jumpshot ادعا می کند “تنها شرکتی است که به چنین داده های خصوصی دسترسی دارد” و به دنبال “ارائه دید عمیق تر به بازاریاب ها در مورد وب گردی کاربران” است. Jumpshot قبلاً در مورد برخی از مشتریان خود به طور عمومی بحث کرده است . اما سایر شرکتهای ذکر شده در اسناد Jumpshot شامل Expedia ، IBM ، Intuit هستند که شرکتهایی مانند TurboTax ، Loreal و Home Depot را شامل میشوند. به کارمندان دستور داده شده که در مورد روابط Jumpshot با این شرکت ها علناً به هیچ عنوان صحبت نکنند.

این منبع با اشاره به ویژگی و حساسیت داده های فروخته شده ، گفت: “این بسیار گران است و داده های فوق العاده با ارزشی برای این شرکت ها است ، زیرا این اطلاعات به تفکیک و ریز جزئیاتی مانند ساعت و دستگاه مورد نظر است.” مادربرد با ناشناس نگه داشتن منبع این اجازه را داد تا با صراحت بیشتری در مورد فرآیند کاری Jumpshot صحبت کند.

تا همین اواخر ، Avast در حال جمع آوری داده های مرور مشتریان خود بود که افزونه مرورگر شرکت را نصب کرده بودند ، که به منظور هشدار دادن به کاربران در وب سایت های مشکوک طراحی شده است. Wladimir Palant محقق امنیتی و خالق AdBlock Plus در ماه اکتبر یک پست منتشر کرد که نشان داد داده های کاربران که Avast با استفاده از آن افزونه جمع می کند. اندکی پس از آن ، سازندگان مرورگر Mozilla ، Opera و Google افزونه های AVast و زیرمجموعه AVG را از فروشگاههای افزونه های مرورگر مربوطه حذف کردند. Avast قبلاً این مجموعه داده ها را به اشتراک گذاشته و در وبلاگ و انجمن کاربران خود در سال 2015 توضیح داده بود . Avast پس از درج این خبر ارسال داده های مرور جمع آوری شده توسط این افزونه ها به Jumpshot را متوقف کرده است.

با این حال ، منبع و اسناد نشان می دهد که جمع آوری داده ها ادامه دارد. Avast به جای جمع آوری اطلاعات از طریق نرم افزارهای متصل به مرورگر ، این کار را از طریق خود نرم افزار ضد ویروس انجام می دهد. هفته گذشته ، ماه ها پس از مشاهده استفاده از افزونه های مرورگر برای ارسال داده ها به Jumpshot ، طبق یک سند داخلی ، Avast شروع به درخواست از کاربران آنتی ویروس رایگان خود برای گردآوری داده ها نمود.

در کتابچه راهنمای داخلی آمده است: “اگر آنها موافقت کنند ، آن دستگاه به بخشی از پانل Jumpshot تبدیل می شود و کلیه فعالیت های اینترنتی مبتنی بر مرورگر به Jumpshot گزارش می شود.” “این کاربران از چه سایتهایی، به چه ترتیب و چه زمانی بازدید کردند؟” این اضافه می کند ، خلاصه آنچه به چه نیازهایی ممکن است محصول بتواند پاسخ دهد.

سناتور ران ویدن ، که در ماه دسامبر از Avast پرسید که چرا اطلاعات مرور کاربران را می فروشد ، در بیانیه ای گفت: “دلگرم کننده است که Avast پس از تعامل سازنده با دفتر من ، برخی از آزاردهنده ترین شیوه های خود را به پایان رسانده است. Avast هنوز متعهد نشده است كه دادههای كاربری را كه بدون رضایت کاربران از آنها جمع آوری شده است را حذف كند یا به فروش داده های حساس در وب گردی کاربران را متوقف كند ، تنها مسئولیت عملی که بر عهده گرفته این است كه از این پس با مشتریان كاملاً شفاف باشد و برای پاک کردن داده هایی که در گذشته تحت شرایط مشکوک جمع آوری شده اقدام کند. “

علیرغم اینکه Avast در حال حاضر از کاربران می خواهد كه از طریق پاپ آپ در نرم افزار آنتی ویروس ، با جمع آوری داده ها موافقت کنند ، چندین كاربر Avast گفتند كه آنها نمی دانند Avast در حال فروش داده های وب گردی آنان است.

کیت ، یکی از کاربران محصول آنتی ویروس رایگان Avast که فقط نام خود را ارائه داده بود ، به مادربورد گفت: “من از این موضوع آگاه نبودم.” آنها گفتند: “این ترسناک به نظر می رسد. من معمولاً به ردیابی داده ها نه می گویم” ، آنها اضافه کردند که هنوز گزینه درخواست جدید از Avast را ندیده اند.

“نمی دانستم که آنها این کار را انجام داده اند” ، یکی دیگر از کاربران آنتی ویروس رایگان Avast در پیام مستقیم توییتر گفت.

مادربرد و PCMag با بیش از دوجین شرکت ذکر شده در اسناد داخلی تماس گرفتند. فقط تعداد انگشت شماری به سؤالاتی پاسخ دادند كه پرسیده شد با داده های مبتنی بر سابقه مرور كاربران Avast چه می كنند.

“ما بعضی اوقات از اطلاعات ارائه دهندگان شخص ثالث برای بهبود مشاغل ، محصولات و خدمات خود استفاده می کنیم. ما از این ارائه دهندگان می خواهیم که اجازه مناسب برای به اشتراک گذاشتن این اطلاعات با ما را داشته باشند. در این حالت ، ما داده های ناشناس مخاطبان را دریافت می کنیم که نمی تواند برای هدف گیری مشتری خاصی مورد استفاده قرار گیرند. یک سخنگوی Home Depot در بیانیه ای از طریق ایمیل نوشت. “

مایکروسافت از اظهارنظر درباره مشخصات محصولات خریداری شده از Jumpshot خود داری کرد ، اما اظهار داشت که این شرکت ارتباط فعلی با Jumpshot ندارد. سخنگوی Yelp در یک ایمیل نوشت: “در سال 2018 ، به عنوان بخشی از درخواست اطلاعات توسط مدیران ضد انحصار ، از تیم سیاستگذاری Yelp خواسته شد تا برآورد رفتار ضد رقابتی گوگل در بازار جستجوی محلی را تخمین بزنند. پایه آن تولید گزارشی از داده های سطح بالا ناشناس است که سایر تخمین ها را در مورد جاسوسی Google از ترافیک وب تأیید می کند. به هیچ PII درخواست یا دسترسی پیدا نشده است. “

“هر جستجو. هر کلیک. هر خرید. در هر سایت.”

شرکت هواپیمایی Southwest Airlines گفت که مذاکراتی با Jumpshot انجام داده است اما با این شرکت به توافق نرسیده است. آی بی ام اعلام کرد که سابقه مشتری بودن را ندارد و Altria گفت که با Jumpshot کار نمی کند ، اگرچه اعلام نکردند که قبلاً این کار را کرده است یا خیر. Google به درخواست اظهار نظر پاسخ نداد.

در وب سایت خود و در اطلاعیه های مطبوعاتی ، Jumpshot به نام Pepsi ، و مشاوران غول های Bain & Company و McKinsey را به عنوان مشتری معرفی کرده است.

و همچنین Expedia ، Intuit و Loreal ، سایر شرکتهایی که قبلاً در اطلاعیه های عمومی Jumpshot به آنها اشاره نشده است شامل شرکت قهوه Keurig ، سرویس تبلیغ YouTube YouTube vidIQ و شرکت بینش مصرف کننده Hitwise است. هیچ یک از این شرکتها به درخواست اظهار نظر پاسخ ندادند.

در وب سایت خود ، Jumpshot برخی موارد از مطالعات موردی قبلی را برای استفاده از داده های مرور خود ذکر کرده است. به عنوان مثال ، مجله و غول رسانه دیجیتال Condé Nast از محصولات Jumpshot برای دیدن اینکه آیا تبلیغات این شرکت رسانه ای منجر به خرید بیشتر در آمازون و جاهای دیگر شده است استفاده کرده است. Condé Nast به درخواست اظهار نظر پاسخ نداد.

تمام کلیک ها

Jumpshot محصولات مختلفی را بر اساس داده های جمع آوری شده توسط نرم افزار آنتی ویروس Avast نصب شده بر روی رایانه های کاربران به فروش می رساند. در این کتابخانه آمده است که مشتریانی که در بخش مالی هستند ، اغلب 10،000 دامنه برتر را که کاربران Avast از آنها بازدید می کنند را خریداری می کنند.

محصول دیگر Jumpshot به اصطلاح شرکت “All Click Feed” است. این امکان را به مشتری می دهد تا اطلاعات مربوط به کلیه کلیک هایی را که jumpshot در یک دامنه خاص دیده است ، مانند Amazon.com ، Walmart.com ، Target.com ، BestBuy.com یا Ebay.com ، بخرد.

با استناد به توییت ارسال شده در ماه گذشته با هدف جلب مشتری های جدید از طرف jumpshot می توان اشاره کرد که “هر جستجو. هر كلیك. هر خرید. در هر سایت ” را جمع آوری می کند.

داده های Jumpshot می تواند نشان دهد که چگونه شخصی که آنتی ویروس Avast را در رایانه خود نصب کرده است ، محصولی را در گوگل جستجو کرده ،با کلیک بر روی پیوندی به آمازون رفته است ، بر روی محصولی کلیک کرده و سپس ممکن است یک محصول را به سبد خرید خود در یک وب سایت دیگر اضافه کند  قبل از اینکه در نهایت تصمیم بگیرد یک محصول را خریداری کند به گفته منبعی که اسناد را توضیح داده است.

یکی از شرکتی که All Clicks Feed را خریداری کرده است ، براساس نسخه ای از قرارداد خود با Jumpshot ، یک شرکت بازاریابی مستقر در نیویورک است. این قرارداد نشان می دهد که Omnicom 2،075،000 دلار برای دسترسی به داده ها را در سال 2019 پرداخت کرده است. این محصول همچنین شامل محصول دیگری به نام “Feed Insight” برای 20 حوزه مختلف است. این سند می افزاید: هزینه داده ها در سال های 2020 و سپس 2021 به ترتیب 2،225،000 دلار و 2،275،000 دلار ذکر شده است.

Jumpshot به Omnicom اجازه داد تا به همه فیدهای کلیک از 14 کشور مختلف جهان ، از جمله ایالات
متحده ، انگلیس ، کانادا ، استرالیا و نیوزلند دسترسی داشته باشد. این محصول همچنین شامل جنسیت استنباط شده کاربران “بر اساس رفتار وب گردی”، سن استنباط شده آنها ، و “کل رشته URL” اما فاقد اطلاعات شناسایی شخصی (PII) ،بر طبق قرارداد است.

Omnicom به درخواست های متعدد برای اظهار نظر پاسخ نداد.

مطابق قرارداد Omnicom ، “شناسه دستگاه” هر کاربر حذف شده است ، بدین معنا که شرکتی که اطلاعات را خریداری می کند ، نمی تواند مشخص کند که دقیقاً دستگاه استفاده شده در پشت هر قطعه فعالیت مرور وب چیست. در عوض ، محصولات Jumpshot قرار است از بینش شرکتهایی که ممکن است بخواهند ببینند چه کالاهایی از محبوبیت بالایی برخوردار هستند ، یا اینکه یک کمپین تبلیغاتی تا چه اندازه مؤثر است ، استفاده کند.

یکی از اسناد داخلی می گوید: “آنچه ما انجام نمی دهیم گزارش در مورد شناسه دستگاه است که برای محافظت در در برابر استفاده از روش تشخیص مثلثی و دسترسی به اطلاعات شخصی کاربران است.”

اما ممکن است داده های Jumpshot کاملاً ناشناس نباشند. در کتابچه راهنمای داخلی محصولات آمده است که شناسه دستگاه برای کاربر تغییر نمی کند ، “مگر اینکه کاربر کاملاً نرم افزار امنیتی را حذف و مجدداً نصب کند.” مقالات بیشمار و مطالعات دانشگاهی نشان داده اند كه چگونه می توان افراد را با استفاده از داده های به اصطلاح ناشناس ، شناسایی كرد. در سال 2006 ، خبرنگاران نیویورک تایمز قادر به شناسایی یک شخص خاص از اطلاعات جستجوی ناشناس بودند که AOL به طور عمومی منتشر کرد. اگرچه داده های آزمایش شده بیشتر روی پیوندهای رسانه های اجتماعی متمرکز بودند ، که Jumpshot تا حدودی از حذف میکند ، اما یک تحقیق در سال 2017 از دانشگاه استنفورد نشان داد که امکان شناسایی افراد از داده های مرور ناشناس در وب وجود دارد .

گونز آکار ، که در زمینه ردیابی اینترنت در مقیاس بزرگ در گروه تحقیقاتی امنیت رایانه و رمزنگاری صنعتی در گروه برق و مهندسی Katholieke Universiteit Leuven مطالعه می کند، گفت.

ناشناس ماندن نگرانی بیشتر در هنگام بررسی چگونگی استفاده نهایی کاربری که این داده ها را خریداری کرده است با در کنار گذاشتن این داده ها در کنار داده های خاص خود را باعث می شود.

Acar گفت: “بیشتر تهدیدات ناشی از ناشناس ماندن – جایی که شما افراد را با استفاده از توانایی ادغام اطلاعات با داده های دیگر شناسایی می کنید ناشی می شود. ” مجموعه داده های به دست آمده از Jumpshot توسط مادربورد و PCMag نشان می دهد که چگونه هر URL بازدید شده با یک نشانگر زمانی دقیق به میلی ثانیه منتقل می شود ، که می تواند به یک شرکت با بانک داده های مشتری خود اجازه می دهد که یک کاربر را که از سایت خود بازدید می کند را در سایر سایتها با استفاده از داده های Jumpshot دنبال کند.

اریک گلدمن ، استاد دانشکده حقوق دانشگاه سانتا کلارا ، گفت: “شناسایی هویت داده ها تقریباً غیرممکن است.” “من باور ندارم وقتی آنها قول می دهند اطلاعات را شناسایی کنند.”

مادربرد و PCMag از Avast مجموعه ای از سوالات مفصل در مورد چگونگی محافظت از ناشناس بودن کاربر و همچنین جزئیات برخی از قراردادهای شرکت پرسیدند. Avast به اکثر سؤالات پاسخ نداد اما در بیانیه ای نوشت: “به دلیل رویکرد ما ، اطمینان حاصل می کنیم که Jumpshot از افرادی که از نرم افزار آنتی ویروس رایگان محبوب ما استفاده می کنند ، اطلاعات شخصی از جمله نام ، آدرس ایمیل یا اطلاعات تماس را بدست نمی آورد.”

وی ادامه داد: “کاربران همیشه این توانایی را داشته اند که از اشتراک گذاری داده ها با Jumpshot خودداری کنند. از ژوئیه سال 2019 ، ما شروع به اجرای گزینه انتخاب صریح برای همه بارگیری های جدید نرم افزار AV خود کرده بودیم ، و ما هم اکنون نیز در حال ترغیب کاربران رایگان موجود هستیم. برای انتخاب صریح ، فرایندی که در فوریه 2020 به اتمام می رسد ، “وی گفت که این شرکت از قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA) و مقررات حفاظت از داده های عمومی اروپا (GDPR) در کل پایگاه اطلاعات کاربران جهانی خود پیروی میکند.

در این بیانیه آمده است: “ما سابقه ای طولانی برای محافظت از دستگاه ها و داده های کاربران در برابر بدافزارها داریم و مسئولیت تعادل حریم شخصی کاربران با استفاده لازم از داده ها را درک کرده و جدی میگیریم.”

“شناسایی مجدد داده ها تقریبا غیرممکن است.”

هنگامی که PCMag در ماه جاری برای اولین بار محصول آنتی ویروس Avast را نصب کرد ، این نرم افزار از این سوال پرسید که آیا با استفاده این شرکت از اطلاعات ناشناس خود موافقید؟.

“در صورت اجازه این کار ، ما به شرکت تابعه Jumpshot Inc امکان استفاده از یک مجموعه داده پاکسازی شده و ناشناس برگرفته از تاریخچه مرور خود را با هدف امکان آفرین کردن Jumpshot برای تحلیل بازارها و روندهای تجاری و جمع آوری بینش های ارزشمند دیگر را میدهیم.” در پیام ذکر شده در این پاپ آپ ، جزئیات این موضوع وجود ندارد که چگونه Jumpshot سپس از این داده ها استفاده می کند.

“داده ها کاملاً نا شناس جمع آوری شده اند و نمی توان از آنها استفاده کرد تا شخصاً شما را شناسایی یا هدف قرار دهند. Jumpshot ممکن است بینش های کل را با مشتریان خود به اشتراک بگذارد.”

همین چند روز پیش ، حساب توییتر شرکت فرعی Avast AVG در توییت خود نوشت: “آیا آخرین باری که تاریخچه مرور #browser خود را تمیز کردید را به یاد دارید؟ ذخیره سابقه مرور شما برای مدت طولانی می تواند حافظه دستگاه شما را اشغال کند و میتواند اطلاعات خصوصی شما را در معرض خطر قرار دهد.”

منبع: Vice