Aplikasi antivirus Avast menjual "setiap penelusuran", "setiap klik", "setiap pembelian di setiap situs yang Anda kunjungi". Pembeli termasuk Home Depot, Google, Microsoft, Pepsi, dan McKinsey.
(diterbitkan dengan singkatan)
Digunakan oleh ratusan juta orang di seluruh dunia, program antivirus menjual data penjelajahan web pribadi ke banyak perusahaan terbesar di dunia. Hal ini dibuktikan dengan investigasi bersama oleh portal Motherboard dan PCMag. Materi tersebut didasarkan pada "bocoran" dokumen perusahaan yang membuktikan bahwa perusahaan pemilik antivirus tersebut menjual data yang sangat rahasia.
Dokumen yang dimiliki oleh Jumpshot, anak perusahaan dari raksasa antivirus Avast, menjelaskan sejarah tersembunyi dari penjualan data internet pribadi. Avast antivirus yang diinstal di komputer seseorang mengumpulkan data, dan Jumpshot "mengemas ulang" -nya menjadi berbagai produk, yang kemudian dijual ke banyak perusahaan terbesar di dunia. Daftar belanja termasuk raksasa seperti Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit dan banyak lagi. Beberapa pelanggan telah membayar jutaan dolar untuk produk yang menyertakan apa yang disebut "saluran semua-klik", yang dapat melacak perilaku pengguna, klik, dan navigasi situs web dengan akurasi tinggi.
Avast mengklaim memiliki lebih dari 435 juta pengguna aktif bulanan dan Jumpshot mengumpulkan data dari 100 juta perangkat. Avast mengumpulkan data pengguna dan kemudian mengirimkannya ke Jumpshot, tetapi beberapa pengguna Avast memberi tahu Motherboard bahwa mereka tidak mengetahui data mereka dibagikan dengan pihak ketiga.
Menurut Motherboard dan PCMag, data pribadi ini termasuk pencarian Google, lokasi Google Maps dan koordinat GPS, halaman LinkedIn, video YouTube pribadi, dan informasi tentang situs porno yang dikunjungi. Dengan menggunakan kumpulan data yang dikumpulkan, dimungkinkan untuk menentukan kapan pengguna anonim telah mengunjungi YouPorn dan PornHub, dan dalam beberapa kasus bahkan mencari dan menonton video tertentu.
Meskipun kumpulan data tidak menyertakan informasi pribadi seperti nama pengguna, mereka masih berisi banyak data spesifik, dan para ahli mengatakan bahwa tidak sulit untuk tidak menyebutkan nama orang tertentu yang menggunakannya.
Dalam siaran pers yang dikeluarkan pada bulan Juli, Jumpshot mengklaim sebagai "satu-satunya perusahaan yang mengungkapkan sejumlah rahasia," dan berkomitmen untuk "memberikan pemahaman yang lebih dalam kepada pemasar tentang aktivitas online pelanggan." "Mereka sangat rinci dan sangat menarik bagi pembeli karena mereka berada pada level perangkat dengan cap waktu," komentar sumber Motherboard, mengutip spesifikasi dan sensitivitas data yang dijual.
Video promosi:
Hingga saat ini, Avast mengumpulkan data lalu lintas dari pelanggan yang memasang plugin browser yang dikembangkan oleh perusahaan untuk memperingatkan pengguna tentang situs web yang mencurigakan. Peneliti keamanan dan pembuat AdBlock Plus, Vladimir Palant, memposting postingan blog pada bulan Oktober yang mengklaim bahwa Avast mengumpulkan data pengguna menggunakan plugin. Tak lama kemudian, pembuat browser Mozilla, Opera dan Google menghapus ekstensi Avast dari toko masing-masing. Avast sebelumnya menjelaskan pengumpulan dan berbagi data ini dalam posting blog dan forum pada tahun 2015. Sejak itu, Avast diduga berhenti mengirim data penjelajahan yang dikumpulkan oleh ekstensi ini.
Namun, pengumpulan data terus berlanjut, menurut sumber dan dokumen. Alih-alih mengumpulkan informasi menggunakan perangkat lunak yang terhubung ke browser, Avast melakukannya menggunakan antivirus itu sendiri. Minggu lalu, beberapa bulan setelah ditemukan menggunakan ekstensi browsernya untuk mengirim data ke Jumpshot, Avast mulai meminta pelanggan antivirusnya untuk mengizinkan pengumpulan data. "Jika pengguna setuju, perangkat mulai merekam semua aktivitas online pelanggan," kata manual produk internal.
Motherboard dan PCMag menghubungi lebih dari dua lusin perusahaan yang disebutkan dalam pengajuan internal. Beberapa menjawab pertanyaan tentang apa yang mereka lakukan dengan data berdasarkan riwayat penjelajahan pengguna Avast.
“Terkadang kami menggunakan informasi dari penyedia pihak ketiga untuk membantu meningkatkan bisnis, produk, dan layanan kami. Kami mengharuskan pemasok ini memiliki hak yang sesuai untuk memberikan informasi ini kepada kami. Dalam kasus ini, kami menerima data audiens anonim yang tidak dapat digunakan untuk mengidentifikasi pelanggan individu,”kata juru bicara Home Depot melalui email.
Microsoft menolak mengomentari secara spesifik memperoleh produk dari Jumpshot, tetapi mengatakan tidak memiliki hubungan yang berkelanjutan dengan perusahaan. Seorang juru bicara Yelp menulis dalam email: “Pada tahun 2018, sebagai bagian dari permintaan informasi antimonopoli, tim Yelp diminta untuk menilai pengaruh Google pada pasar mesin pencari lokal. Jumpshot digunakan pada satu waktu."
Southwest Airlines mengatakan telah membahas kemitraan dengan Jumpshot tetapi belum mencapai kesepakatan dengan perusahaan. IBM mengatakan itu tidak bekerja dengan Jumpshot, dan Altria mengatakan itu tidak bekerja dengan Jumpshot sekarang, meskipun tidak menunjukkan apakah itu melakukannya sebelumnya. Sephora menyatakan bahwa ini tidak berfungsi dengan Jumpshot. Google tidak menanggapi permintaan komentar.
Di situs webnya dan dalam siaran persnya, Jumpshot menyebut Pepsi serta raksasa konsultan Bain & Company dan McKinsey sebagai klien.
Selain Expedia, Intuit, dan Loreal, perusahaan lain yang belum ditampilkan dalam pengumuman publik Jumpshot termasuk perusahaan kopi Keurig, YouTube vidIQ, dan Hitwise, perusahaan riset konsumen. Tak satu pun dari perusahaan ini menanggapi permintaan komentar.
Di situsnya, Jumpshot mencantumkan beberapa kasus penggunaan sebelumnya untuk datanya. Misalnya, Condé Nast menggunakan produk Jumpshot untuk melihat apakah iklan perusahaan media menghasilkan pembelian di Amazon dan tempat lain. Condé Nast tidak menanggapi permintaan komentar.
Jumpshot menjual berbagai produk berdasarkan data yang dikumpulkan oleh perangkat lunak antivirus Avast yang diinstal di komputer pengguna. Pelanggan di sektor keuangan institusional sering kali membeli saluran dari 10.000 domain yang dikunjungi pengguna Avast untuk mencoba melihat tren, kata panduan produk.
Produk Jumpshot lainnya adalah yang disebut "All Click Feed". Hal ini memungkinkan pelanggan untuk membeli informasi tentang semua klik yang telah dilihat Jumpshot di domain tertentu, seperti Amazon.com, Walmart.com, Target.com, BestBuy.com, atau Ebay.com.
Dalam tweet yang diposting bulan lalu dengan tujuan untuk menarik pelanggan baru, Jumpshot mencatat bahwa dia mengumpulkan “Setiap pencarian. Setiap klik. Informasi tentang setiap pembelian di setiap situs."
Data jumpshot mungkin menunjukkan seseorang dengan Avast terinstal di komputer mereka mencari produk di Google, mengklik tautan yang mengarah ke Amazon, dan kemudian mungkin menambahkan item ke keranjang mereka di situs web lain sebelum akhirnya, beli produk.
Salah satu perusahaan yang mengakuisisi All Clicks adalah firma pemasaran Omnicom Media Group yang berbasis di New York. Berdasarkan kontrak, Omnicom membayar Jumpshot $ 2.075.000 untuk akses data pada 2019. Kesepakatan itu juga mencakup produk lain yang disebut Insight Feed untuk 20 domain berbeda. Biaya data pada tahun 2020 dan kemudian pada tahun 2021 masing-masing ditunjukkan sebesar $ 2.225.000 dan $ 2.275.000, kata dokumen itu.
Jumpshot memberi Omnicom akses ke semua saluran klik dari 14 negara berbeda di seluruh dunia, termasuk Amerika Serikat, Inggris, Kanada, Australia, dan Selandia Baru. Produk tersebut juga menyertakan jenis kelamin yang diinginkan dari pengguna "berdasarkan perilaku penjelajahan", perkiraan usia mereka, dan "seluruh string URL", tetapi dengan informasi identitas pribadi (PII) dihapus.
Omnicom tidak menanggapi beberapa permintaan komentar.
Berdasarkan kontrak, setiap "ID perangkat" pengguna memiliki ciri, yang berarti bahwa perusahaan yang membeli data tidak harus dapat menentukan siapa sebenarnya di balik setiap tampilan. Sebaliknya, produk Jumpshot seharusnya membantu perusahaan memahami produk mana yang sangat populer atau seberapa efektif kampanye iklan.
Tetapi data Jumpshot tidak bisa sepenuhnya anonim. Manual produk internal menyatakan bahwa ID perangkat tidak berubah untuk setiap pengguna "kecuali pengguna benar-benar mencopot dan menginstal ulang perangkat lunak keamanan." Banyak artikel dan studi ilmiah telah menunjukkan bahwa sangat mungkin untuk mengekspos orang menggunakan apa yang disebut data anonim. Pada tahun 2006, reporter New York Times dapat mengidentifikasi orang tertentu dari cache data pencarian anonim yang dirilis oleh AOL secara publik. Sementara data yang diverifikasi lebih difokuskan pada tautan media sosial yang diedit Jumpshot, sebuah studi tahun 2017 di Universitas Stanford menemukan bahwa dimungkinkan untuk mengidentifikasi orang dari data anonim secara online.
Motherboard dan PCMag mengajukan sejumlah pertanyaan mendetail kepada Avast tentang cara melindungi anonimitas pengguna, dan juga meminta detail tentang beberapa kontrak perusahaan. Avast tidak menjawab sebagian besar pertanyaan, tetapi mengeluarkan pernyataan: "Melalui pendekatan kami, kami memastikan bahwa Jumpshot tidak menerima informasi pengenal pribadi, termasuk nama, alamat email, atau detail kontak orang yang menggunakan perangkat lunak antivirus gratis kami yang populer."
“Pengguna selalu memiliki pilihan untuk keluar dari komunikasi dengan Jumpshot. Mulai Juli 2019, kami sudah mulai menerapkan pilihan eksplisit untuk semua unduhan baru antivirus kami, dan kami sekarang juga meminta persetujuan dari pengguna gratis kami yang ada - sebuah proses yang akan selesai pada Februari 2020,”kata juru bicara Avast, menambahkan bahwa perusahaan mematuhi Undang-Undang Perlindungan Konsumen California (CCPA) dan Peraturan Perlindungan Data Eropa Umum (GDPR) untuk seluruh basis pengguna globalnya.
"Kami memiliki sejarah panjang dalam melindungi perangkat dan data pengguna dari malware, dan kami memahami serta menganggap serius tanggung jawab untuk menyeimbangkan privasi pengguna dengan penggunaan data yang diperlukan," kata pernyataan itu.
Ketika seorang jurnalis PCMag pertama kali menginstal produk antivirus Avast bulan ini, program tersebut menanyakan apakah dia ingin berpartisipasi dalam pengumpulan data.
“Jika Anda mau, kami akan menyediakan anak perusahaan kami Jumpshot Inc. kumpulan data khusus dan tidak teridentifikasi yang berasal dari riwayat penjelajahan Anda sehingga Jumpshot dapat menganalisis pasar dan tren bisnis serta mengumpulkan wawasan berharga lainnya, kata pesan tersebut. Namun, munculan tidak merinci secara tepat bagaimana Jumpshot menggunakan data ini.
“Informasi ini benar-benar tidak teridentifikasi dan dikumpulkan, tidak dapat digunakan untuk identifikasi pribadi. Jumpshot dapat berbagi informasi yang dikumpulkan dengan pelanggannya,”tambah sebuah popup.
Pembaruan: Setelah peluncuran investigasi ini, Avast mengumumkan bahwa mereka menangguhkan pengumpulan data menggunakan Jumpshot.
Oleh Joseph Cox
