דיווח: האנטי וירוס החינמי אוואסט קוצר מידע פרטי מהמשתמשים

תוכנת האנטי וירוס החינמית אוואסט קוצרת את היסטוריית הגלישה של משתמשיה לצורך מכירת הדטה הזה לגורמי צד שלישי – כך על פי דיווח שפורסם ברשת. למרות הטענות כי הנתונים הללו הם אנונימיים במלואם, חקירה של האתרים PCMag ו-Motherboard מצאה כמה קל לפענח מי הם המשתמשים הנמצאים מאחורי המידע.

חברת .Avast Software a.s הצ'כית, שמציעה מוצרי אנטי-וירוס תחת המותג שלה עצמה, וכן של AVG, זכתה באופן מסורתי לציונים גבוהים בגלל יכולת איתור התוכנות הזדוניות שלה.

בעת הגדרת חבילת האנטי-וירוס החינמית של החברה, המשתמשים מתבקשים להצטרף לתכנית איסוף נתונים. רבים עושים זאת בלי היסוס, לאחר שמובטח להם כי כל הנתונים אנונימיים ונשמרים כך כדי להגן על זהותם. אלא שכעת ממצאי התחקיר מעידים כי  אווסט אוספת נתונים פרטניים וכאלו המפרים את פרטיות המשתמשים, וכן שהאנונימיות המובטחת היא יחסית בלבד.

התחקיר מצא כי אווסט משווקת את נתוני המשתמשים באמצעות חברת הבת שלה, ג'אמפשוט שמה, וזו מנהלת מערכות יחסים עם חברות כמו פפסי, ואופיס דיפו, וכן לחברות טכנולוגיה ענקיות, ביניהן יבמ, מיקרוסופט וגוגל.

מיקרוסופט אמרה לעורכי התחקיר כי אין לה קשר שוטף עם ג'אמפשוט, יבמ טוענת שאין לה "שום רשומה" של היותה לקוחה של אוואסט או של ג'אמפשוט, וגוגל לא התייחסה לבקשת תגובה מטעם עורכי התחקיר, שפירטו כי גם ניסיונות לאשר קשרי לקוחות אחרים של ג'אמפשוט נענו ברובם באפס תגובה. אתרי המדיה טענו עם זאת כי מסמכים שהשיגו העידו גם על כך שאפשר שהנתונים שאספו תוכנות האנטיוירוס של אווסט  נמכרו אולי לחברות הון סיכון.

PCMag ו-Motherboard הצליחו להשיג גישה למסמכים פנימיים, ולדגימה של נתונים מג'אמפשוט, ומצאו שאוואסט עוקבת אחרי כל הקליקים של המשתמשים.

להתאים קליקים אנונימיים מנתוני Avast לרישומי חברות גדולות

לכאורה הנתונים שמוכרת ג'אמפשוט לא אומרים דבר על זהות האדם שמאחורי הקליקים – אלא אם כן מדובר בחברה אשר לה מצבור דטה עצום של משתמשים, כמו גוגל, למשל. עם גישה לנתונים בהיקף שכזה ניתן פשוט לחפש משתמשים שביצעו את אותו קליק או סדרת קליקים, וכך מחברים שם האדם למזהה המכשיר הספציפי שנשמר בדטה. אחרי הצלבת המידע, הנתונים של אוואסט מכילים למעשה תיעוד מלא של השימוש באינטרנט של המשתמש. ולא גוגל או מיקרוסופט – חברות שהן, כאמור, בקשר עם ג'אמפשוט – אלא למעשה כל חברה גדולה אחרת, יכולה לעשות את אותה הצלבה ולהתאים קליקים אנונימיים שנכללים בנתוני Avast לרישומיה.

ג'אמפשוט מציעה ללקוחותיה מוצרים שונים, שחלקם כוללים רק חלק מהנתונים שאוואסט אוספת. לדוגמה, מוצר אחד מתמקד בחיפושים שערך המשתמש ובמה שבחר לבסוף מבין הממצאים לשאילתה שלו. אלא שלג'אמפשוט יש גם מוצר שמספק את "כל הקליקים" (All clicks feed) – הכולל את כל הנתונים שנצברו מהמשתמש. החברה הבת של אוואסט מוכרת בדרך כלל את העדכון המלא הזה ללא מזהי מכשירים, אך בסוף 2018 מצא התחקיר כי היא הסכימה לספק את הנתונים בלוויית תעודות זהות לחברת השיווק אומניקום מדיה גרופ.

ובלי קשר לכמה נתונים מציעה ג'אמפשוט בכל חבילה, הבחירה שלה ושל אוואסט לכנות את הדטה הזה 'אנונימי' היא מטעה ביותר, בעיקר משום שברגע שהנתונים האלה יוצאים החוצה, אין לדעת להיכן ולאילו ידיים הם יגיעו בסוף וכמה מידע על משתמש מסוים ניתן יהיה להפיק מהם.

אוואסט הסירה באחרונה את תכונות המעקב אחר משתמשים מהרחבות דפדפן הכרום, כדי "לעמוד בסטנדרטים שלו", ציינה. עם זאת, תוכנות שולחן העבודה העצמאיות שלה עדיין ממשיכות לאסוף כל קליק של המשתמשים. אפשר לנחש שעל ידי מכירת המידע הזה עושה החברה למעשה את הונה, מה שמלמד אותנו שוב שאין בעצם דבר כזה "חינמי", ושלפעמים המחיר שנלווה למוצר שעליו לא נגבה תשלום הוא גבוה הרבה יותר משניתן לתאר.

בתגובת החברה נמסר כי היא שדרגה את מוצר הליבה שלה וכי "אנחנו מוודאים שג'אמפשוט לא כורה מידע אישי, כולל שם, כתובת מייל או פרטי קשר". עוד על פי אוואסט, "למשתמשי ג'אמפשוט תמיד הייתה היכולת לעשות Opt out לאפשרות שיתוף המידע. ביולי 2019 התחלנו להטמיע אפשרות לעשות Opt in לכל ההורדות החדשות של האנטי וירוסים שלנו. כמו כן, אנחנו מעודדים את המשתמשים הקיימים שלנו להוסיף אפשרויות של Opt in ו-Opt out – תהליך שנשלים אותו בחודש הבא".