Die Antiviren-App von Avast verkauft "jede Suche", "jeden Klick", "jeden Kauf auf jeder Website, die Sie besuchen". Zu den Käufern zählen Home Depot, Google, Microsoft, Pepsi und McKinsey.
(veröffentlicht mit Abkürzungen)
Ein Antivirenprogramm, das von Hunderten Millionen Menschen auf der ganzen Welt verwendet wird, verkauft persönliche Daten zum Surfen im Internet an viele der größten Unternehmen der Welt. Dies wird durch eine gemeinsame Untersuchung der Portale Motherboard und PCMag belegt. Das Material basiert auf "durchgesickerten" Unternehmensdokumenten, die belegen, dass das Unternehmen, dem das Antivirenprogramm gehört, streng vertrauliche Daten verkauft.
Die Dokumente von Jumpshot, einer Tochtergesellschaft des Antiviren-Riesen Avast, werfen ein neues Licht auf die verborgene Geschichte des Verkaufs persönlicher Internetdaten. Auf dem Computer einer Person installiertes Avast-Antivirenprogramm sammelt Daten und Jumpshot „verpackt“sie in verschiedene Produkte, die dann an viele der größten Unternehmen der Welt verkauft werden. Die Einkaufsliste enthält Giganten wie Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit und viele mehr. Einige Kunden haben Millionen von Dollar für Produkte bezahlt, die einen sogenannten "All-Click-Kanal" enthalten, mit dem Benutzerverhalten, Klicks und Website-Navigation mit hoher Genauigkeit verfolgt werden können.
Avast gibt an, monatlich über 435 Millionen aktive Benutzer zu haben, und Jumpshot sammelt Daten von 100 Millionen Geräten. Avast sammelt Benutzerdaten und sendet sie dann an Jumpshot. Mehrere Avast-Benutzer haben Motherboard jedoch mitgeteilt, dass sie nicht wissen, dass ihre Daten an Dritte weitergegeben werden.
Laut Motherboard und PCMag umfassten diese persönlichen Daten Google-Suchanfragen, Google Maps-Standorte und GPS-Koordinaten, LinkedIn-Seiten, private YouTube-Videos und Informationen zu besuchten Pornoseiten. Mithilfe des gesammelten Datenpools kann festgestellt werden, wann ein anonymer Benutzer YouPorn und PornHub besucht hat, und in einigen Fällen sogar Suchanfragen und bestimmte Videos.
Obwohl die Datensätze keine persönlichen Informationen wie Benutzernamen enthalten, enthalten sie dennoch viele spezifische Daten, und Experten sagen, dass es nicht so schwierig ist, eine bestimmte Person, die sie verwendet, zu dekanonymisieren.
In einer im Juli veröffentlichten Pressemitteilung behauptet Jumpshot, "das einzige Unternehmen zu sein, das eine Reihe von Geheimnissen preisgibt", und setzt sich dafür ein, "Marketingfachleuten ein tieferes Verständnis der Online-Aktivitäten von Kunden zu vermitteln". "Sie sind sehr detailliert und für Käufer von großem Interesse, da sie sich auf der Ebene des Geräts mit einem Zeitstempel befinden", kommentierte die Quelle von Motherboard die Besonderheiten und die Sensibilität der verkauften Daten.
Werbevideo:
Bis vor kurzem sammelte Avast Verkehrsdaten von Kunden, die ein vom Unternehmen entwickeltes Browser-Plug-In installiert hatten, um Benutzer auf verdächtige Websites aufmerksam zu machen. Der Sicherheitsforscher und Erfinder von AdBlock Plus, Vladimir Palant, veröffentlichte im Oktober einen Blog-Beitrag, in dem behauptet wurde, Avast sammle Benutzerdaten mithilfe des Plugins. Kurz darauf entfernten die Browserhersteller Mozilla, Opera und Google die Avast-Erweiterungen aus ihren jeweiligen Stores. Avast hat diese Datenerfassung und -freigabe bereits 2015 in einem Blog- und Forumsbeitrag erläutert. Seitdem hat Avast angeblich das Senden von Browserdaten eingestellt, die von diesen Erweiterungen gesammelt wurden.
Die Datenerfassung wird jedoch fortgesetzt, wie aus der Quelle und den Dokumenten hervorgeht. Anstatt Informationen mit einer an den Browser angeschlossenen Software zu sammeln, verwendet Avast das Antivirenprogramm selbst. Letzte Woche, Monate nachdem festgestellt wurde, dass Avast mithilfe seiner Browsererweiterungen Daten an Jumpshot sendet, forderte Avast seine Antiviren-Kunden auf, die Datenerfassung zuzulassen. „Wenn die Benutzer zustimmen, zeichnet das Gerät alle Online-Aktivitäten des Kunden auf“, heißt es im internen Produkthandbuch.
Motherboard und PCMag kontaktierten mehr als zwei Dutzend Unternehmen, die in internen Unterlagen erwähnt wurden. Nur wenige beantworteten Fragen dazu, was sie mit Daten tun, die auf dem Browserverlauf der Avast-Benutzer basieren.
„Manchmal verwenden wir Informationen von Drittanbietern, um unser Geschäft, unsere Produkte und Dienstleistungen zu verbessern. Wir fordern, dass diese Lieferanten die entsprechenden Rechte haben, uns diese Informationen zur Verfügung zu stellen. In diesem Fall erhalten wir anonyme Publikumsdaten, mit denen einzelne Kunden nicht identifiziert werden können “, sagte ein Sprecher von Home Depot per E-Mail.
Microsoft lehnte es ab, sich zu den Einzelheiten des Erwerbs von Produkten von Jumpshot zu äußern, sagte jedoch, dass keine dauerhafte Beziehung zum Unternehmen besteht. Ein Yelp-Sprecher schrieb in einer E-Mail: „Im Jahr 2018 wurde das Yelp-Team im Rahmen einer kartellrechtlichen Informationsanfrage gebeten, die Auswirkungen von Google auf den lokalen Suchmaschinenmarkt zu bewerten. Es wurde jeweils ein Sprungschuss verwendet."
Southwest Airlines sagte, es habe eine Partnerschaft mit Jumpshot besprochen, aber keine Einigung mit dem Unternehmen erzielt. IBM sagte, dass es mit Jumpshot nicht funktioniert habe, und Altria sagte, dass es jetzt nicht mit Jumpshot funktioniert habe, obwohl es nicht angab, ob dies zuvor der Fall war. Sephora gab an, dass dies mit Jumpshot nicht funktioniert. Google hat auf eine Anfrage nach einem Kommentar nicht geantwortet.
Auf seiner Website und in Pressemitteilungen nennt Jumpshot Pepsi sowie die Beratungsgiganten Bain & Company und McKinsey als Kunden.
Neben Expedia, Intuit und Loreal gehören zu den anderen Unternehmen, die noch nicht in den öffentlichen Ankündigungen von Jumpshot aufgeführt sind, das Kaffeeunternehmen Keurig, YouTube vidIQ und Hitwise, ein Verbraucherforschungsunternehmen. Keines dieser Unternehmen antwortete auf eine Anfrage nach einem Kommentar.
Jumpshot listet auf seiner Website einige der vorherigen Anwendungsfälle für seine Daten auf. Zum Beispiel verwendete Condé Nast Jumpshot-Produkte, um festzustellen, ob die Anzeige eines Medienunternehmens zu Käufen bei Amazon und anderswo führte. Condé Nast antwortete nicht auf eine Bitte um Kommentar.
Jumpshot verkauft verschiedene Produkte basierend auf Daten, die von Avast-Antivirensoftware gesammelt wurden, die auf den Computern der Benutzer installiert ist. Kunden im institutionellen Finanzsektor kaufen häufig Kanäle von 10.000 Domains, die Avast-Benutzer besuchen, um Trends zu erkennen, heißt es im Produktleitfaden.
Ein weiteres Jumpshot-Produkt ist der sogenannte "All Click Feed". Auf diese Weise kann der Kunde Informationen zu allen Klicks kaufen, die Jumpshot auf einer bestimmten Domain wie Amazon.com, Walmart.com, Target.com, BestBuy.com oder Ebay.com gesehen hat.
In einem Tweet, der letzten Monat veröffentlicht wurde, um neue Kunden zu gewinnen, stellte Jumpshot fest, dass er „Jede Suche. Jeder Klick. Informationen zu jedem Kauf auf jeder Website."
Jumpshot-Daten zeigen möglicherweise, dass jemand mit installiertem Avast auf seinem Computer nach einem Produkt googelt, auf einen Link klickt, der zu Amazon führte, und den Artikel möglicherweise vor einer endgültigen Website in den Warenkorb einer anderen Website legt, ein Produkt kaufen.
Eines der Unternehmen, das All Clicks übernommen hat, ist das in New York ansässige Marketingunternehmen Omnicom Media Group. Im Rahmen des Vertrags zahlte Omnicom 2019 Jumpshot 2.075.000 USD für den Datenzugriff. Der Deal beinhaltete auch ein weiteres Produkt namens Insight Feed für 20 verschiedene Domains. Datengebühren im Jahr 2020 und dann im Jahr 2021 werden mit 2.225.000 USD bzw. 2.275.000 USD angegeben, heißt es in dem Dokument.
Mit Jumpshot konnte Omnicom auf alle Klickkanäle aus 14 verschiedenen Ländern der Welt zugreifen, darunter die USA, England, Kanada, Australien und Neuseeland. Das Produkt enthält auch das beabsichtigte Geschlecht der Benutzer "basierend auf dem Surfverhalten", ihr geschätztes Alter und die "gesamte URL-Zeichenfolge", wobei jedoch personenbezogene Daten (PII) entfernt wurden.
Omnicom antwortete nicht auf mehrere Anfragen nach Kommentaren.
Laut Vertrag wird die „Geräte-ID“jedes Benutzers gehasht, was bedeutet, dass das Unternehmen, das die Daten kauft, nicht bestimmen kann, wer genau hinter jeder Ansicht steht. Stattdessen sollen Jumpshot-Produkte Unternehmen helfen, zu verstehen, welche Produkte besonders beliebt sind oder wie effektiv eine Werbekampagne ist.
Jumpshot-Daten können jedoch nicht vollständig anonym sein. Das interne Produkthandbuch besagt, dass sich die Geräte-IDs nicht für jeden Benutzer ändern, "es sei denn, der Benutzer deinstalliert die Sicherheitssoftware vollständig und installiert sie erneut". Zahlreiche Artikel und wissenschaftliche Studien haben gezeigt, dass es durchaus möglich ist, Personen mit sogenannten anonymen Daten zu entlarven. Im Jahr 2006 konnten Reporter der New York Times eine bestimmte Person aus einem Cache mit angeblich anonymen Suchdaten identifizieren, die AOL öffentlich veröffentlichte. Während sich die verifizierten Daten mehr auf von Jumpshot bearbeitete Social-Media-Links konzentrierten, ergab eine Studie von 2017 an der Stanford University, dass es möglich war, Personen anhand anonymer Daten online zu identifizieren.
Motherboard und PCMag stellten Avast eine Reihe detaillierter Fragen zum Schutz der Anonymität der Benutzer und forderten Details zu einigen Verträgen des Unternehmens an. Avast beantwortete die meisten Fragen nicht, gab jedoch eine Erklärung ab: "Durch unseren Ansatz stellen wir sicher, dass Jumpshot keine personenbezogenen Daten erhält, einschließlich Name, E-Mail-Adresse oder Kontaktdaten von Personen, die unsere beliebte kostenlose Antivirensoftware verwenden."
„Benutzer hatten immer die Möglichkeit, die Kommunikation mit Jumpshot zu deaktivieren. Ab Juli 2019 haben wir bereits damit begonnen, explizite Auswahlmöglichkeiten für alle neuen Downloads unseres Antivirenprogramms zu implementieren, und wir fordern jetzt auch die Zustimmung unserer vorhandenen kostenlosen Benutzer an - ein Prozess, der im Februar 2020 abgeschlossen sein wird “, sagte ein Avast-Sprecher und fügte hinzu, dass das Unternehmen entspricht dem kalifornischen Verbraucherschutzgesetz (CCPA) und der Allgemeinen Europäischen Datenschutzverordnung (DSGVO) für die gesamte globale Nutzerbasis.
"Wir haben eine lange Tradition im Schutz von Benutzergeräten und Daten vor Malware und wir verstehen und nehmen die Verantwortung ernst, die Privatsphäre der Benutzer mit der erforderlichen Verwendung von Daten in Einklang zu bringen", heißt es in der Erklärung.
Als ein PCMag-Journalist diesen Monat das Antivirenprodukt von Avast zum ersten Mal installierte, fragte das Programm, ob er an der Datenerfassung teilnehmen wolle.
„Wenn Sie möchten, werden wir unsere Tochtergesellschaft Jumpshot Inc. zur Verfügung stellen. Ein dedizierter und nicht identifizierter Datensatz, der aus Ihrem Browserverlauf abgeleitet wurde, damit Jumpshot Märkte und Geschäftstrends analysieren und andere wertvolle Erkenntnisse sammeln kann “, heißt es in der Nachricht. Das Popup zeigte jedoch nicht genau an, wie Jumpshot diese Daten verwendet.
„Die Informationen werden vollständig deidentifiziert und aggregiert. Sie können nicht zur persönlichen Identifizierung verwendet werden. Jumpshot kann aggregierte Informationen mit seinen Kunden teilen “, fügte ein Popup hinzu.
Update: Nach der Veröffentlichung dieser Untersuchung gab Avast bekannt, dass die Datenerfassung mit Jumpshot ausgesetzt wird.
Von Joseph Cox
