编者注:2020年1月,我们了解到Avast与其子公司Jumpshot之间共享用户数据的问题。基于这条隐私漏洞,我们将这款产品的评级降了半颗星,并取消了它的编辑选择称号。Avast解决了这个问题终止跳投此后不久。从那以后,我们没有看到任何不当使用私人用户数据的迹象,所以我们把Avast从惩罚框中拿出来,恢复了它的星级和编辑之选荣誉。
你的杀毒应该保护你,但如果它把你的浏览历史记录交给了一家大型营销公司呢?
放松。这是Avast在其浏览器扩展发布后对公众说的话发现收集用户数据,提供给营销人员。上个月,这家反病毒公司试图为这种做法辩护,声称收集的网络历史记录在被移交之前被剥夺了用户的个人信息。
“这些数据是完全去身份化和聚合的,不能用于个人识别或针对你,”Avast告诉选择加入数据共享的用户。作为回报,你的隐私得到了保护,Avast得到了报酬,在线营销人员得到了大量“汇总”的消费者数据,以帮助他们销售更多的产品。
只有一个问题:根据PCMag和Avast的联合调查,本应是巨大的匿名网络历史数据实际上可以被分离出来,并链接回单个Avast用户主板(在新窗口打开)。
“去身份识别”为何会失败
Avast负责销售数据的部门是Jumpshot,该公司的子公司一直在提供来自1亿台设备(包括个人电脑和手机)的用户流量访问。作为回报,客户——从大品牌到电子商务提供商——可以从谷歌或亚马逊搜索、新闻文章中的广告或Instagram上的帖子中了解消费者正在购买什么以及在哪里购买。
收集的数据非常细粒度,客户端可以查看用户在浏览会话中进行的单个点击,包括精确到毫秒的时间。虽然收集的数据从未与一个人的姓名、电子邮件或个人信息相关联IP地址尽管如此,每个用户历史记录都会被分配到一个称为设备ID的标识符,该标识符将持续存在,除非用户卸载Avast防病毒产品。
例如,理论上,一次点击可以是这样的:
设备标识:abc123x日期:2019/12/01时分秒:12:03:05域:Amazon.com产品:苹果iPad Pro 10.5 - 2017型号- 256GB,玫瑰金行为:添加到购物车
乍一看,点击似乎无害。你不能把它固定到一个确切的用户。也就是说,除非你是亚马逊,它可以很容易地找出哪个亚马逊用户在2019年12月1日12:03:05买了一台iPad Pro。突然,设备ID: 123abcx变成了一个已知用户。Jumpshot对123abcx活动的任何其他记录——从其他电子商务购买到谷歌搜索——都不再是匿名的。
PCMag和Motherboard从熟悉Jumpshot产品的消息来源了解到有关数据收集的细节。与我们交谈过的隐私专家一致认为,时间戳信息、持久设备id以及收集的url可以被分析以暴露某人的身份。
研究在线跟踪的隐私研究员Gunes Acar说:“去匿名化——你在识别一个人的身份——带来的大部分威胁来自于将信息与其他数据合并的能力。”
他指出,亚马逊、谷歌、品牌零售商和营销公司等大公司可以收集用户的全部活动日志。有了Jumpshot的数据,这些公司就有了另一种方法来追踪用户在互联网上的数字足迹。
“也许(Jumpshot)数据本身并没有识别人,”Acar说。“也许它只是一个散列用户id和一些url的列表。但它总是可以与其他营销人员和广告商的其他数据结合起来,基本上可以得出真实的身份。”
“所有点击提要”
根据内部文件,Jumpshot提供了多种产品,以不同的方式提供收集到的浏览器数据。例如,一种产品专注于人们正在进行的搜索,包括使用的关键字和点击的结果。
我们查看了收集到的数据的快照,并看到了关于平凡、日常主题的查询日志。但也有一些敏感的色情搜索,包括未成年人的性信息,没有人愿意与他们联系在一起。
其他Jumpshot产品旨在追踪用户在YouTube、Facebook和Instagram上观看的视频。另一个是分析一个选定的电子商务领域,以帮助营销人员了解用户是如何到达该领域的。
但对于一个特定的客户端,Jumpshot似乎提供了所有的访问权限。2018年12月,主要营销提供商宏盟传媒集团(Omnicom Media Group)签署了一份合同,接收Avast用户的“所有点击提要”,即Jumpshot收集的每一次点击。Jumpshot的产品手册上说,通常情况下,“所有点击”Feed的销售没有设备id,“以防止PII(个人身份信息)三角定位”。但根据合同,Jumpshot在交付Omnicom的产品时,每次点击都附有设备id。
此外,该合同要求Jumpshot为访问的每个网站提供URL字符串、引用URL、精确到毫秒的时间戳,以及用户的疑似年龄和性别,这可以根据此人访问的网站进行推断。
目前尚不清楚宏盟集团为什么想要这些数据。该公司没有回应我们的问题。但这份合同带来了一种令人不安的前景,即宏盟可能会破解Jumpshot的数据,以识别个人用户。
尽管宏盟集团本身并没有一个主要的互联网平台,但Jumpshot的数据正被送往一家名为Annalect的子公司。Annalect提供技术解决方案,帮助企业将自己的客户信息与第三方数据合并。这份为期三年的合同将于2019年1月生效,宏盟将获得包括美国、印度和英国在内的14个市场的每日点击流数据。作为回报,Jumpshot获得650万美元。
还有谁能接触到Jumpshot的数据还不清楚。该公司的网站上说,它与其他品牌合作过,包括IBM、微软和谷歌。然而,微软表示目前与Jumpshot没有任何合作关系。另一方面,IBM没有成为Avast或Jumpshot客户的“记录”。谷歌没有回应记者的置评请求。
Jumpshot在营销中提到的其他客户包括消费品公司联合利华、雀巢普瑞纳和金佰利,以及TurboTax提供商Intuit。此外还有市场研究和咨询公司麦肯锡(McKinsey & Company)和GfK,这两家公司拒绝就其与Jumpshot的合作发表评论。记者试图确认其他客户关系,但基本上没有得到回复。但我们获得的文件显示Jumpshot的数据可能会流向风险投资公司。
“去识别数据几乎不可能”
安全研究员弗拉迪米尔·帕兰特(Wladimir Palant)是上月首次引发公众对Avast数据收集政策进行审查的人。10月,他注意到(在新窗口打开)这家反病毒公司的浏览器扩展有一些奇怪的地方:他们会记录用户ID旁边访问的每个网站,并将信息发送给Avast。
这些发现促使他指出这些扩展是间谍软件。作为回应,谷歌和Mozilla暂时删除了它们,直到Avast实施新的隐私保护。尽管如此,帕兰特一直在试图理解Avast说它“去识别”和“聚合”用户的浏览器历史,而这家反病毒公司一直没有公开透露具体的技术过程。
“聚合通常意味着多个用户的数据被组合在一起。如果Jumpshot客户端还能看到个人用户的数据,那就太糟糕了。”
Jumpshot用来防止客户端查明Avast用户真实身份的一个安全措施是专利(在新窗口打开)该程序旨在从收集的url中去除个人信息,如姓名和电子邮件地址。但Palant表示,即使剔除了PII,数据收集仍然会不必要地将Avast用户暴露在隐私风险中。
“很难想象任何匿名化算法都能删除所有相关数据。市场上有太多的网站,而每个网站都在做不同的事情。”例如,Palant指出,访问一个用户收集的URL链接,可以始终揭示这个用户评论了哪些推文或视频,从而暴露用户的真实身份。
“去识别数据几乎是不可能的,”圣克拉拉大学(Santa Clara University)高科技法律研究所(High Tech Law Institute)联席主任埃里克·戈德曼(Eric Goldman)说。他也对一家将用户数据变现的反病毒公司提出了异议。“这听起来像是一种糟糕的商业行为。他们应该保护消费者免受威胁,而不是让他们暴露在威胁之下。”
“介意和我们分享一些数据吗?”
我们向Avast询问了十几个问题,涉及数据收集的范围、与谁共享,以及有关宏盟集团合同的信息。它拒绝回答我们的大部分问题,也拒绝提供Jumpshot的联系方式,而Jumpshot也没有回复我们的电话或电子邮件。不过,Avast确实表示,已停止通过Avast和AVG浏览器扩展收集用户数据用于营销目的。
该公司在一份声明中表示:“我们完全停止了将来自浏览器扩展的任何数据用于核心安全引擎以外的任何其他目的,包括与Jumpshot共享。”
尽管如此,Avast的Jumpshot部门仍然可以通过Avast主要的桌面和移动防病毒应用程序收集你的浏览器历史记录。其中包括Avast旗下的AVG反病毒软件。数据收集是通过软件的Web Shield组件进行的,该组件还会扫描浏览器上的url,以检测恶意或欺诈网站。
因此,PCMag不能再推荐Avast免费杀毒软件作为编辑的选择类别的免费防病毒保护。
该公司是否真的需要你的url来保护你,这有待商榷。Avast表示,直接获取这些信息,并让Avast的云服务器立即扫描这些信息,为用户提供了“额外的安全层”。但隐私研究人员Gunes Acar表示,同样的方法也有风险,处理访问url最安全的方法是永远不收集它们。谷歌的安全浏览API(在新窗口打开)例如,它会向你的电脑浏览器发送一份最新的不良网站黑名单,这样你就可以在你的电脑上而不是在云端检查这些url。
“这可以用一种更私密的方式来完成,”Acar说。“Avast绝对应该采用这种方法。但他们似乎是在靠url赚钱。”
另一方面,Avast提供免费的防病毒产品。该公司还指出,浏览器历史记录收集是可选的。您可以在安装或设置面板中关闭它。
“用户一直都可以选择不与Jumpshot分享数据。截至2019年7月,我们已经开始对所有新下载的反病毒软件实施明确的选择,现在我们也在鼓励现有的免费用户做出明确的选择,这一过程将于2020年2月完成,”该公司表示。
事实上,当你在Windows电脑上安装Avast或AVG防病毒软件时,该产品会弹出一个窗口,询问你:“介意与我们共享一些数据吗?”然后,弹出窗口将继续告诉您,收集的数据将被去识别和汇总,以保护您的隐私。
但是,没有提到如何将相同的数据与其他信息结合起来,将您的身份与收集的浏览器历史连接起来。弹出窗口也没有提到Jumpshot如何能够保留三年的数据访问权。关于这个细节,你得看看Avast的细则隐私政策(在新窗口打开)。
因此,看到弹出窗口的用户可能会认为他们的数据会受到保护,而在现实中,科技产品的隐私政策往往是故意模糊和简化的。“你希望消费者购买或使用你的产品。但你也不想吓到他们,”巴拉德律师事务所(Ballard Spahr)在隐私和数据安全部门工作的合伙人金·潘(Kim Phan)说。
代价是政策可能变得不透明。“更难搞清楚你在做什么,”她补充说。“人们无法理解细节,或者他们会认为你在试图隐瞒什么。”
在Avast的案例中,围绕基本不为人知的数据收集行为的争议引发了美国参议员罗恩·怀登(Ron Wyden)的充分审查决定(在新窗口打开)进行调查。“美国人希望网络安全和隐私软件保护他们的数据,而不是卖给营销人员,”他说在推特上(在新窗口打开)当时。
怀登在一份声明中说,Avast结束通过该公司的浏览器扩展收集数据,这让他感到鼓舞。“然而,我担心Avast尚未承诺删除未经用户同意而收集和共享的用户数据,或停止出售敏感的互联网浏览数据,”他补充道。“唯一负责任的做法是对客户完全透明,并清除过去在可疑条件下收集的数据。”
更新:1/30在PCMag-Motherboard联合调查引起轩然大波之后,包括参议员马克·华纳(Mark Warner)谴责联邦贸易委员会因为你在"上峰"上搞砸了停住了它将关闭Jumpshot的运作。Ondrej Vlcek在一份声明中说:“作为Avast的首席执行官,我觉得我个人有责任,我想向所有相关人士道歉。”
你的密码是如何被盗的
