Слишком любопытный антивирус
seshanba, 4-fevral, 2020
Как-то раз мы уже затрагивали тему продажи данных пользователей одним зарубежным антивирусным разработчиком (см. выпуск «Никто уже не удивляется»). Вернемся, хотя и неохотно, к этой теме снова – скандал никак не унимается.
Начнем с сути обвинений:
Антивирус продавал личные данные клиентов.
Из такого заголовка читатель однозначно заключит, что продавались персональные данные, которые позволяют однозначно и без особых усилий вычислить пользователя. Но это не так.
Собираемые данные не включали личные, такие как ФИО и е-мейл.
Собирались данные о фактах посещений сайтов:
Антивирус собирал данные о посещениях сайтов, включая порносайты, и продавал их корпорациям через свою дочернюю фирму.
При этом собираемые данные настолько подробные, что клиенты Avast могли просматривать конкретные клики, которые пользователи осуществляют во время веб-сёрфинга. Время совершения одного такого клика было детализировано буквально до миллисекунд.
В теории запись каждого клика пользователя может выглядеть следующим образом:
Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 - 2017 Model - 256GB, Rose Gold Behavior: Add to Cart
В чем же суть обвинений?
Передаваемая информация не была привязана к имени пользователя, адресу электронной почты или IP-адресу, однако один идентификатор всё же присутствовал — ID устройства. Этот идентификатор присутствует на девайсе до тех пор, пока там установлен антивирусный продукт Avast, только после деинсталляции устройство отвязывается от ID.
На первый взгляд — безобидный набор данных, которые нельзя связать с конкретным пользователем. Однако тот же Amazon.com может безошибочно вычислить, какой именно юзер купил iPad Pro 1 декабря 2019 года в 12:03:05. Всё благодаря идентификатору — 123abcx.
То есть обезличенные данные передавались некой фирме, которая могла по косвенным признакам идентифицировать пользователя (да и то неточно: может, этот «айпад» был давно уже подарен и передарен) и что-то ему предложить.
Схема Avast заключалась в том, чтобы передавать собранные данные компании Jumpshot (это дочерняя фирма Avast), а она в свою очередь продавала данные Google, Microsoft, McKinsey, TripAdvisor, Yelp, Conde Nast, The Home Depot, Pepsi и другим компаниям.
А вот мнение одного из комментаторов:
Я конечно не эксперт, но как минимум странно. Собирать данные через расширение в браузере(хром к примеру), а потом их продавать самому создателю этого браузера(Гуглу). Да и данные поисковых запросов передавать. Гуглу. Запросы через поисковик Гугл. Через браузер Гугла.
С обвинениями разобрались. Теперь посмотрим, насколько незаконно поступал антивирусный разработчик.
Какие данные он может собирать? Откроем лицензионное соглашение:
7.1. Термин «Данные»… означает: (а) информацию, которую вы предоставляете Поставщику, другому участнику Группы поставщика или Партнеру поставщика в ходе заказа Решений, в том числе ваше имя, адрес для выставления счета (включая почтовый индекс), адрес электронной почты, номер телефона, номер платежной карты или счета, контрольный код платежной карты или счета, дату выдачи и прекращения действия платежной карты, пароль учетной записи, выбранный для вашей учетной записи у Поставщика или другого участника группы Поставщика, а также другие Данные для выставления счета...; (b) информацию, которую Поставщик, другой участник Группы поставщика или Партнер поставщика собирает в ходе обработки и выполнения ваших заказов.
«Информацию, которую Поставщик, другой участник Группы поставщика или Партнер поставщика собирает в ходе обработки и выполнения ваших заказов». Иными словами – все, что сможет собрать, ибо список незакрытый.
Что разработчик может делать с данными (напомним, что пользователь при установке продукта принимает соглашение и дает разрешение на такие действия):
Вы подтверждаете, что Поставщик или другой участник Группы Поставщика может обмениваться вашими Данными с Партнерами Поставщика, например, с поставщиками платформы электронной коммерции Поставщика и обработчиками платежей, поставщиками, предоставляющими вам поддержку, услуги и Решения от лица Поставщика, и поставщиками, предоставляющими Поставщику или другому участнику Группы Поставщика аналитику о покупках и аварийном завершении работы Решения.
Таки да. Передача данных разрешена, а уж что с ними будет делать третье лицо – остается на его совести.
И, заметим, разрешена передача всех данных, включая ФИО и номера карт. А пишут о каких-то кликах. Смешно!
#анонимность #антивирус #лицензионное_соглашение #персональные_данные #приватность #слежкаАнтивирусная правДА! рекомендует
Читайте лицензионные соглашения, и для вас не станут откровением истории типа этой:
Банк заключил договора с сотовыми операторами, которые имеют с клиентов big data. Банк передаёт набор критериев, в которые входят «благонадёжность» мест, посещаемых клиентом, контент SMS-сообщений по разным фильтрам, активность в разное в зависимости от времени суток, аналогичный рейтинг других людей, кому звонит клиент, и многое другое. Всего несколько сотен критериев.
Сотовый оператор не раскрывает персональные данные, но рассчитывает общий рейтинг на основании соответствия критериям и их весам. Это число и возвращается заказчику, который здесь является третьей стороной. Все довольны, и закон о перс. данных не нарушается.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Filip_s
23:09:00 2020-12-17
"Инструкцию к изделию читают только в том случае, когда аппарат или безнадежно испорчен, или не помогают другие методы воздействия" (Один из законов Мэрфи)
Zserg
17:09:17 2020-02-05
Lia00
01:04:29 2020-02-05
L1t1um
21:50:15 2020-02-04
anatol
21:29:35 2020-02-04
Шалтай Александр Болтай
20:59:16 2020-02-04
orw_mikle
20:42:11 2020-02-04
Альфа
20:11:38 2020-02-04
Татьяна
19:26:50 2020-02-04
Денисенко Павел Андреевич
19:21:51 2020-02-04
Геральт
18:05:43 2020-02-04
admin_29
17:10:24 2020-02-04
Toma
15:57:47 2020-02-04
SGES
14:17:33 2020-02-04
Masha
13:47:51 2020-02-04
ЛехаК.
13:41:34 2020-02-04
Alexander
12:26:54 2020-02-04
Данные об истории запросов, открытых сайтах, просмотре страницах и "кликах" на них с привязкой к месту, времени и девайсу любопытного озабоченного потребителя. В этой огромной массе информации при хорошем анализе о каждом человеке можно найти даже то, о чём он сам о себе даже не догадывается.
Интернет браузеры, антивирусники, оптимизаторы операционных систем в онлайн режиме, "борцы" с телеметрией Microsoft и множество другого разнородного программного обеспечения в той или иной степени занимаются сбором информации о нашем взаимодействии с компьютером и Интернет сетью.
Хочешь что-то "взять" из виртуального пространства? Будь готов к тому, что у тебя что-то возьмут в этой реальности. Даже не в обмен, а просто по факту твоего выхода в Интернет. И ни TOR, ни Darknet, ни какая иная лукавая хитрость не сможет оградить нас от такой вот селяви (C'est La Vie)... Но жизнь продолжается! Не так ли?!
Спасибо за статью, мне понравилась.
vinnetou
11:39:02 2020-02-04
DrKV
11:14:42 2020-02-04
gebrakk
10:27:57 2020-02-04
vkor
10:03:48 2020-02-04
Этого недостаточно.
dyadya_Sasha
10:02:28 2020-02-04
Dmur
09:19:13 2020-02-04
ZesMen
08:34:42 2020-02-04
Vlad X
08:34:33 2020-02-04
махали ручкой.Все соглашения однотипны,так-что можно не
читать,а соглашаться.
Любитель пляжного футбола
08:23:54 2020-02-04
Может, несколько не по теме, не о том, что установленные программы собирают о тебе данные, в вообще о слежке в интернете. Прочёл когда-то статью интересную о том, как сделать так, чтобы твои действия меньше отслеживали в интернете. Суть в том, что следует использовать два браузера. В одном браузере ты только авторизируешься на сайтах, но никогда не производишь поиск. В другом, наоборот, ищёшь нужную информацию, но никогда не авторизируешься, чтобы тебя не могли идентифицировать (плюс устанавливаешь приложение, чтобы все cokies сразу удалялись).
Может, работает.
https://theidealist.ru/browserprivacy/
Неуёмный Обыватель
08:23:25 2020-02-04
Xamanaptr
07:56:35 2020-02-04
ka_s
07:53:31 2020-02-04
maestro431
07:46:24 2020-02-04
Пaвeл
07:08:48 2020-02-04
DoctorW
06:45:45 2020-02-04
Korney
06:29:04 2020-02-04
Sasha50
06:14:22 2020-02-04
Tanya086
06:09:41 2020-02-04
EvgenyZ
06:07:59 2020-02-04
АНДРЕ
06:07:21 2020-02-04
Morpheus
05:23:06 2020-02-04
cruise
05:06:43 2020-02-04
Sergey
05:05:05 2020-02-04
achemolganskiy
04:30:25 2020-02-04
Саня
03:50:53 2020-02-04