Quis custodiet ipsos custodes? – Az adatlopkodó Avast

Megfigyelő kamera figyelmeztető tábla
Avagy ki őrzi az őrzőket? Jól időzítve, január 27-én, a nemzetközi adatvédelmi világnapot megelőzően tört ki az az újabb adatvédelmi botrány, amely erősen megrendítheti a biztonsági szoftverekbe vetett általános hitet. Bár lehet, hogy a brexit és a koronavírus árnyékában szinte jelentéktelennek tűnik egy újabb, több mint száz millió embert érintő adatvédelmi botrány, mégis egy olyan határt lépett át az Avast, amit soha, egyetlen biztonsági szoftvert gyártó cégnek sem szabadna. És persze a többieknek sem.

Bár a feldolgozott riport amerikai cégekre koncentrál, egy pillanatra se higgyük azt, hogy az európaiak nem csinálják ugyanezt.

A Motherboard és a PCMag közös oknyomozásából kiderül, hogy az Avast a Jumpshot nevű leányvállalatán keresztül milliók részletes böngészési adatait adta el olyan nagyvállalatoknak, mint a Google, Pepsi, Yelp vagy épp a Microsoft. A kiszivárgott dokumentumok és az adatok rávilágítanak arra, hogy olyan részletes információkhoz jutottak hozzá a Jumpshoton keresztül egyes cégek, mint az adott webáruházon belüli kattintások, illetve a megvásárolt termékek adatai. És ez még nem minden.

Az Avast biztonsági szoftver, amit a világon több, mint száz millióan használnak, érzékeny adatokat gyűjt, melyeket nagy cégek vesznek meg. A következő elemzés azon kiszivárgott adatokra, szerződésekre és egyéb céges dokumentációkra alapul, amelyeknek titokban kellett volna maradniuk a felek között.

Az Avast, antivírus terméket fejlesztő óriás leányvállalata a Jumpshot új fényben világította meg a titokzatos és sokszor rejtélyes böngészési adatkereskedelmi beszállítóláncot. A dokumentumokból látszik, hogy az Avast antivírus szoftver az emberek számítógépeire telepítve adatokat gyűjt, melyeket a Jumpshot különböző termékek formájában újracsomagol, hogy aztán eladhassa azokat világ legnagyobb cégeinek. Néhány volt, jelenlegi és jövőbeli ügyfél között ott van a Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit és sokan mások. Néhányan dollármilliókat fizettek olyan termékekért melyek a sokat mondó „Az összes kattintás forrása” komponenst is tartalmazzák. Ez a termék képes igen nagy pontossággal rögzíteni a felhasználó viselkedését, kattintásait és a weboldalak közötti mozgását is.

Az Avast állítása szerint több, mint 435 millió aktív havi felhasználója van, a Jumpshot pedig azt állítja, hogy 100 millió eszközről van adata. Az Avast azoktól gyűjtött adatokat, akik ebbe beleegyeztek, majd azt továbbította a Jumpshot felé, ugyanakkor a Motherbordnak nyilatkozó felhasználók azt mondták, hogy nem tudták, hogy az Avast eladja a böngészési adataikat, ami komoly kérdéseket vet fel a tájékoztatással kapcsolatban.

A PCMag és Motherboard által megszerzett „újracsomagolt” adatok tartalmaznak Google kereséseket, Google Mapsen megkeresett GPS koordinátákat, felhasználók által meglátogatott cégek Linkedln lapjait, egyes YouTube videókat, illetve a látogatott pornó oldalakat is. Ezen adatok alapján továbbá meg lehet állapítani, hogy az „anonimizált” felhasználó pontosan mikor (dátum és idő) látogatta meg a YouPorn vagy PornHub oldalakat, ott milyen kulcsszóra keresett rá és melyik videót nézte meg.
Biztonság

Habár a gyűjtött adatok nem tartalmaznak olyan személyes információkat mint a felhasználó neve, így is igen értékes böngészési információkat tartalmaznak, és a szakértők szerint alkalmasak lehetnek egyes esetekben a felhasználó személyazonosságának kiderítésére. Sok esetben egyáltalán nem szükséges speciális tudás a felhasználó azonosításához. Elég csak a meglátogatott oldalak URL-jét nézni és abból ki lehet következtetni. Pl. ha valaki megnézi a saját fiókjának Twitter analitikáját, onnantól vége a névtelenségnek. De ugyanez érvényes a Facebookra és nagyon sok más helyre is. 2017-ben a Guardian újságírójának némi fondorlattal sikerült olyan „anonimizált” böngészési adatokhoz hozzájutnia, amikből be lehetett azonosítani a felhasználókat. Ezen adatok forrása például a Web of Trust „biztonságcentrikus” böngészőkiegészítő volt, mely adott oldal reputációja alapján próbálta megmondani, hogy biztonságos-e. Persze azóta állítólag „jó útra” tértek és újra telepíthető a böngészők kiegészítő, de ezután van olyan, aki elhiszi, ha csak kérdeznek is?

Ha mindezek mellé még odatesszük azt is, hogy a hírhedt Cambridge Analyticának komoly szerepe volt a bevezetőben említett brexit létrejöttében is, akkor felmerül a kérdés: hol a határ? Vagy, ami talán még érdekesebb: ki(k)nél van az az összetett adatbázis, ahol az összes kisebb-nagyobb fiaskó adatait összegezték és apránként mindent megtudtak a felhasználókról. És mire használják?

Ezért is nagyon fontos, hogy csak olyan alkalmazásokat telepítsünk, amikben megbízunk. Az Avast ezt a bizalmat használta ki és szúrta hátba felhasználók százmillióit.

Egy júliusi sajtóközlemény szerint a Jumpshot az egyetlen cég, mely hozzáférést ad azokhoz az eddig hozzáférhetetlen böngészési adatokhoz, melyek segítésével a marketingesek sokkal mélyebben megismerhetik a felhasználó teljes online életét. A Jumpshot régebben nyilvánosan is közzétette néhány ügyfele nevét. De a kiszivárgott dokumentumok olyan további neveket tartalmaznak mint az Expedia, IBM, Intuit (a nálunk ismeretlen, de a tengerentúlon népszerű adózási szoftver, a TurboTax szerzője), Loreal vagy épp Home Depot. Persze a Jumpshot alkalmazottakat utasították, hogy ne beszéljenek a cég és az ügyfelek kapcsolatáról.
Felhő

„Nagyon részletes és kiválóan használható adatforrás, mivel eszköz szintű információkat és időbélyeget is tartalmaz.” – mondta az egyik forrásunk az eladott adatok sajátosságára és érzékenységére utalva. Mivel a Motherboard garantálta az információforrás névtelenségét, az még nyíltabban kezdett beszélni a Jumpshot belső folyamatairól.

Nem is olyan régen az Avast csak azok adatait gyűjtötte, akik telepítették a cég böngésző beépülőjét, aminek célja a felhasználó figyelmeztetése a gyanús weboldalak meglátogatásakor. Ugyanakkor 2019 októberében Wladimir Palant biztonsági szakértő, az AdBlock Plus szerzője közzétett egy blogbejegyzést, amiben megmutatta, hogyan gyűjti a böngésző beépülő a felhasználók adatait. Röviddel ezután a Mozilla, Opera és a Google is eltávolította az elérhető böngésző kiegészítők közül az Avast és annak tulajdonában lévő AVG cég böngészőkiegészítőit.

2015-ben az Avast egy blogbejegyzésben és egy fórumbejegyzésben is beszélt az adatgyűjtéséről. A Motherboard és PCMaghez eljuttatott közleményben az Avast állítja, hogy ezek a böngészőkiegészítők már nem küldik el a gyűjtött adatokat a Jumpshot részére.

Ugyanakkor mind a forrástól, mind pedig a megszerzett dokumentumokból az derül ki, hogy folyamatos az adatgyűjtés. De már nem a böngészőhöz telepített plusz szoftveren keresztül, hanem magán az antivírus alkalmazáson keresztül történik. Egy belső dokumentum szerint a múlt héten, hónapokkal azután, hogy kiderült a böngészőkiegészítők adatokat küldenek a Jumpshotnak, az Avast elkezdte a meglévő ingyenes antivírus felhasználókat kérdezgetni az adatgyűjtésbe való beszállásról.

„Ha beszálltak, akkor az eszköz része lett a Jumpshot felmérésének, és minden böngésző alapú internetes tevékenység továbbításra került a Jumpshot részére” – fogalmaz egy belső termékhasználati útmutató. „Milyen URL-eket látogattak meg az eszközről, milyen sorrendben és mikor?” – teszi hozzá azokat a kérdéseket, amiket a termék valószínűleg képes megválaszolni.

2019 decemberében Ron Wyden amerikai szenátor kérdőre vonta az Avastot, amiért eladja a felhasználói adatait: „Biztató, hogy miután az irodám felvette velük a kapcsolatot, az Avast konstruktívan állt a dolgokhoz és befejezte a legmegkérdőjelezhetőbb tevékenységeit. Ugyanakkor elgondolkodtató, hogy a felhasználóinak kifejezett beleegyezése nélkül gyűjtött böngészési adatok törlésében és az adatok értékesítésének leállításában (még) nem elkötelezett az Avast. Az egyetlen felelősségteljes válasz erre a teljes átláthatóság az ügyfelek felé és a múltban gyanús körülmények között gyűjtött összes adat törlése.”

Annak ellenére, hogy az Avast az antivírus szoftveréből egy felugró ablakban jelenleg megkérdezi a felhasználóit, hogy akarnak-e újra csatlakozni az adatgyűjtéshez, több Avast felhasználó azt mondta, hogy nem tudott az adatok gyűjtéséről és azok értékesítéséről.

„Fogalmam sem volt róla” – mondta egy ingyenes Avast antivírus felhasználó a Motherboardnak. „Félelmetesen hangzik. Általában nemet mondok az adatgyűjtésre” – mondta egy másik felhasználó, aki még nem látta azt a bizonyos felugró ablakot.

„Nem tudtam róla, hogy ilyet csináltak :(” – egy másik felhasználó, aki közvetlen Twitter üzenetben kereste meg a Motherboardot.

Több mint két tucat, a belső dokumentumok által megnevezett céget keresett meg a Motherboard és a PCMag. Csak egy maroknyi válaszolt azokra a kérdésekre, hogy mire használták az Avast felhasználóitól származó böngészési adatokat.

„Az üzletünk javításához néha szükség van harmadik féltől származó információkra, amikkel a céget, a termékeinket és a szolgáltatásainkat tehetjük jobbá. Megköveteljük ezektől az adatszolgáltatóktól, hogy rendelkezzenek a megfelelő jogosítvánnyal az információ velünk történő megosztásához. Ebben az esetben anonimizált adatokat kaptunk, amikből nem lehetséges megállapítani az adott ügyfelet” – mondta a Home Depo szóvivője e-mailben.

A Microsoft nem kommentálta, miért vásárolt termékeket a Jumpshottól, ugyanakkor leszögezte, hogy jelenleg nem állnak kapcsolatban a céggel. A Yelp szóvivője a következőt írta e-mailben: "2018-ban a versenyjogi hatóságok kérték a Yelp csapatát, hogy végezzenek egy becslést a Google versenyellenes viselkedésének a helyi keresési piacra tett hatásairól. Egy alkalommal kértünk jelentést a Jumpshottól, ami anonimizált, magas szintű trendeket tartalmazó adatokat tartalmaz, amivel csak a korábbi, a Google internetes forgalomelszívásával kapcsolatos becsléseinket ellenőriztük. Se nem kértünk, se nem fértünk hozzá felhasználói adatokhoz."

Minden keresés. Minden kattintás. Minden vásárlás. Mindenhol.

A Soutwest Airlines képviselője szerint voltak megbeszélések a Jumpshottal, de szerződés nem került aláírása. Az IBM azt mondta, nincs tudomásuk arról, hogy bármikor is ügyfeleik lettek volna a Jumpshotnak. Az Altria közölte, hogy jelenleg nem dolgoznak együtt a Jumpshottal, de azt nem mondta, hogy a múltban ne dolgoztak volna együtt. A Sephora tagadta, hogy dolgoztak volna a Jumpshottal, a Google pedig nem kommentálta az értesülést.

A Jumpshot weboldalán és sajtóközleményeik között említésre került a Pepsi, a Bain & Company (konzultáns cég) és a McKinsey mint ügyfelek.

Ahogy az Expedia, Intuit, Loreal és a többi még nem említett nyilvánosan közzétett ügyfelek, úgy a Keurig kávé cég, a Youtube promóciókkal foglalkozó vidIQ és a fogyasztói társadalommal foglalkozó Hitwise sem válaszolt a megkeresésre.

A Jumpshot a böngészési adatokat felhasználó esettanulmányokat is megjelentetett a weboldalán. Például az amerikai újság és digitális média óriás, a Condé Nast arra használta a Jumpshot termékeit, hogy lássa, a reklámok több termék eladást eredményeztek-e az Amazonon vagy bárhol máshol. A Condé Nast nem válaszolt a megkeresésre.

Az összes kattintás

A Jumpshot az Avast antivírus szoftver segítségével a felhasználók gépéről szerzett információkat többféle termékké alakította és adta el. A pénzügyi szektorból érkező ügyfelek például gyakran vették meg az Avast felhasználók 10 000 legnépszerűbb internetes oldalai statisztikáit, amiből meg lehet próbálni valamilyen trendet kikövetkeztetni – fogalmaz a termék kézikönyve.
Pénz
Egy másik termék az önmagáért beszélő „Minden kattintás”. Ezzel lehetséges a Jumpshot által az adott oldalon észlelt összes kattintásairól szóló információt megvásárolni. Olyanokon mint az amazon.com, walmart.com, target.com, bestbuy.com vagy épp az ebay.com.

Az egyik – azóta már eltávolított – Jumpshot tweet megjegyezte, hogy rögzít mindent: „Összes keresés. Összes kattintás. Összes vásárlás. Az összes oldalon”.

A kiszivárgott dokumentumok szerint olyan pontos a követés, hogy egy Avastot használó számítógépről a Jumpshot rögzíteni tudta akár azt is, hogy a felhasználó rákeresett egy termékre a Google-ben, majd rákattintott az Amazonra vezető linkre, majd egy teljesen másik oldalon tette bele a kosarába.

Egy Jumpshottól származó szerződés szerint az egyik cég, ami megvásárolta az „Összes kattintás” csomagot egy New York-i székhelyű marketinggel foglalkozó cégcsoport az Omnicom Media Group. Az Omnicom 2 075 000 amerikai dollárt, azaz a mai árfolyamon 631.090.500 forintot fizetett 2019-ben a Jumpshot részére. Továbbá ugyanezen szerződés szerint a „Részletes betekintés” (Insight feed) terméket is megvásárolta, 20 különböző internetes címre. A dokumentum szerint ezen termék ára 2020-ban 2,225,000 USD, 2021-ben pedig 2,275,000 USD lett volna.

Összes kattintás – termékleírás

„Az összes kattintás internetes címenként kerül értékesítésre (tehát vásárolhatsz egyet az amazon.com-hoz), majd ezt felhasználhatod a „stabil” és „teljes” elemzésünk futtatásához. Ahogy a neve is jelzi, minden egyes észlelt kattintást rögzítünk az adott internetes címen. Viszont nem adjuk át a Jumpshot eszközazonosítót, mert azzal könnyen meg lehetne határozni az adatokhoz tartalmazó személyt. Csupán egy egyedi munkamenet azonosítót adunk, alapértelmezetten 30 másodperces időtúllépéssel. Az összes kattintás termék egyik előnye, hogy azokat a mintákat is fel lehet benne fedezni, melyeket a többi termékünkkel nem lehetséges, illetve ha egyszerűen csak mélyebben meg szeretnéd ismerni a felhasználók aktivitását az adott címen, anélkül hogy bármilyen szűrő közbeszólna. Az összes kattintással mindent láthatsz. A csomag hátránya, hogy nem láthatod se az átkattintásokat, se a visszatérő látogatókat. Mivel ebben a termékben nem használjuk a Minta Gyűjteményünket, hogy azonosítsuk a különböző eseményeket, nem szükséges az esemény felderítés munka a Jumpshot oldaláról. Így ez egy másik olyan termék, ami tisztán a nyers adatokra támaszkodik."

Érdekes, hogy a termék megismerése után a helyzet egy kicsit jobb, mint ahogy eddig az kinézett. Úgy látszik, mintha legalább papíron meghúzott volna a Jumpshot egy határt az adatok átadásában és a felhasználói adatok át (nem) adásában. Másrészt nem kell hozzá nagy tudás, hogy az ember más forrásból származó adatokat összefésüljön és kitömködje az esetleges réseket.

A szerződés hozzáteszi, hogy az Omnicom 14 országból származó „Összes kattintás” termékhez fért hozzá. Ezen adatforrás országok között van az Amerikai Egyesült Államok, Kanada, Ausztrália és Új-Zéland is. Továbbá a termék tartalmazta a felhasználók „böngészési viselkedéséből” kikövetkeztetett nemét, korát és a teljes URL-t, amiből eltávolították a személyazonosításra alkalmas információkat (aha…).

Az Omnicom többszöri megkeresésre sem válaszolt.

Továbbá ugyanebből az Omnicom szerződésből kiderül, hogy az eszközazonosítónak csak a kivonatát (hash értékét) kapta meg az adatokat megvásárló cég, így az elvileg nem tudja azonosítani, hogy pontosan ki tartozik az adott böngészési eseményhez. Ehelyett a Jumpshot termékét arra kellene használni, hogy pontosan megismerje, melyik az a termék, amelyik kifejezetten népszerű, vagy épp arra, hogy kiderítse, mennyire hatékony az aktuális reklámkampány.

Ahogy egy belső Jumpshot dokumentum fogalmaz, „nem adjuk át az adott műveletet végrehajtó Jumpshot eszközazonosítót, hogy megakadályozzuk a személyes adatok esetleges meghatározását.”

Ugyanakkor, ahogy egy belső kézikönyv fogalmaz, a Jumpshot eszközazonosító nem teljesen névtelen dolog. Nem változik, amíg a felhasználó nem törli le és telepíti újra a biztonsági szoftvert. Számtalan cikk és egyetemi kutatás bizonyította, hogy lehetséges az anonimizált adatokból az adott felhasználó meghatározása (ahogy erről fentebb szó volt). Egy másik történet, hogy 2006-ban a New York Times riporterei képesek voltak azonosítani egy adott személyt az AOL által nyilvánosan elérhetővé tett és teljesen névtelen(nek tűnő) keresési adataiból. Bár ez a teszt leginkább a közösségi oldalakra koncentrált, amit a Jumpshot valamilyen módon eltüntetett, mégis egy 2017-es tanulmány a Stanford egyetemről megmutatta, hogy a névtelen böngészési adatokból is lehetséges az azonosítás.

„Az anonimizálás olyan dolog, amiben nagyon könnyű hibázni. Rengeteg minden mehet félre” – mondta Günnes Acar, aki a Katholieke egyetem Villamosmérnöki tanszékén a széleskörű internetes követést tanulmányozza az Informatikai Biztonság és Ipari Kriptográfia kutatócsoportban.

Telepítés és beleegyezés – folyamat leírása

„Jumpshot a nyers adatokat az Avast nevű cégtől vásárolja. Az Avast egy internetes biztonsággal foglakozó cég, mely a biztonsági szoftverét „freemium” modellben terjeszti, melynek a telepítője megkérdezi a felhasználót, hogy beleegyezik-e abba, hogy névtelen internethasználati adatokat gyűjtsön a szoftver, vagy sem. Amennyiben beleegyezik, az eszköz része lesz a Jumpshot mérésének, aminek a keretében minden böngészési adat továbbításra kerül a Jumpshot részére. Ekkor kerül a Jumpshot eszközazonosító az adott eszközön rögzítésre és változatlan marad míg a felhasználó nem távolítja el teljesen, majd telepíti újra a biztonsági szoftvert. Minden böngésző által meglátogatott oldal adatai rögzítésre kerülnek, illetve bizonyos kivételezett címeken az asztali eszközön indított AJAX hívások is naplózásra kerülnek. Az időbélyeg és földrajzi helyzet (IP cím alapján) naplózása már „ingyen van”, mivel tény, hogy ezekre az adatokra mindenképp szükség van, így ezek része az "Összes kattintás" terméknek. Az adathalmaz majdnem olyan mint egy Apache log fájl a teljes internet, összes a felmérésben részt vevő eszközéről. „Milyen címeket látogattak meg erről a eszközről, milyen sorrendben és mikor?”

Ahogy fentebb már szó volt róla, a deanonimizálás további kérdéseket vet fel, ha hozzávesszük, hogy a Jumpshot adatainak felhasználói hogyan tudják összefésülni a saját adataikkal.

„Az anonimizálás folyamatára a legnagyobb veszélyt az jelenti, ha képes vagy más forrásból származó adatokkal összefésülni a meglévőket. Így képes lehetsz a deanonimizálásra, azaz arra, hogy azonosíts valakit” – tette hozzá Acar. A Motherboard és PCMag birtokába jutott Jumpshot adatokból jól látszik, hogy mindegyik meglátogatott URL-hez pontos, ezredmásodperc precizitású időbélyeg tartozik, ami segítéségével lehetséges, hogy az adott cég kombinálja a saját, ismert ügyfeleket tartalmazó adatbázisával a Jumpshot adatait, amivel pedig weboldalakon átívelve lehet követni az immár azonosított személyt.
Ujjlenyomat
„Szinte teljesen lehetetlen az adatok teljes anonimizálása” – mondta Eric Goldman, a Santa Clara egyetem Jogi iskolájának professzora. „Nem hiszek nekik, mikor megígérik, hogy anonimizálják az adatokat.”

A Motherboard és a PCMag több részletes kérdést is feltett az Avastnak azzal kapcsolatban, hogy hogyan védik a felhasználóik névtelenségét, illetve egyes szerződések részleteivel kapcsolatban is. A legtöbb kérdésre nem válaszolt az Avast, de tett egy nyilatkozatot: „A módszerünknek hála, biztosak vagyunk abban, hogy az igen népszerű, ingyenes antivírus szoftverünket használó felhasználóknak egy olyan személyes azonosításra alkalmas adata sem került a Jumpshot kezébe mint a neve, e-mail-címe vagy az elérhetőségének részletei.”

„A felhasználók mindig dönthettek úgy, hogy kilépnek az adataik Jumpshottal való megosztásából. 2019 júliusában elkezdtünk konkrét beleegyezést kérni a felhasználótól a víruskereső minden egyes új letöltésekor. Továbbá elkezdtük a már meglévő ingyenes verziónkat használó felhasználóinkat is értesíteni és konkrét beleegyezésüket kérni az adatmegosztásba. Ez a folyamat 2020 februárjában be is fejeződött.” – írta az Avast a nyilatkozatában. Továbbá hozzátették, hogy ezzel megfelelnek a Kaliforniai Fogyasztói Adatvédelmi törvénynek (CCPA – California Consumer Privacy Act) és az Európai Általános Adatvédelmi Rendeletnek (GDPR) is."

Továbbá hozzátették, hogy „Hosszú ideje védjük a felhasználók eszközeit a rosszindulatú programoktól. Megértjük és komolyan vesszük a felelősségünket abban, hogy megfelelően egyensúlyozzunk a felhasználó magánéletének tiszteletben tartása és a szükséges adatok begyűjtése között”.

„Szinte lehetetlen az adatokból kideríteni a valós személyt.”

Amikor a PCMag első alkalommal telepítette a hónapban az Avastot, a szoftver megkérdezte, hogy beleegyezünk-e az adatgyűjtésbe.

A beleegyezést kérő ablak írja: „Ha engedélyezed, akkor a Jumpshot nevű leányvállalatunk részére adatokat fogunk továbbítani, amelyek a böngészési előzményeidre épülő vágott és anonimizált információk. Ezekkel az adatokkal a Jumpshot piacelemzést, üzleti trendek megállapítását és egyéb értékes elemzéseket végez.” A fordítás tőlem származik, nem az Avastból.

Sajnos több részletet nem tudunk meg arról, hogy ezek után hogyan használja fel az adatainkat a Jumpshot.

„A megszerzett adatok anonimizálásra, összegzésre kerülnek és nem használhatóak a személyed meghatározására. A Jumpshot megoszthat egyes összesített elemzéseket a saját ügyfeleivel” – fogalmaz a beleegyezést kérő ablak. Szintén saját fordítás, nem az Avast része.

Néhány nappal ezelőtt az AVG, az Avast leányvállalata ezt twittelte: „Emlékszel, mikor törölted utoljára a böngészési előzményeidet? A sokáig megtartott böngészési előzmények sok memóriát foglalhatnak az eszközödön és veszélybe sodorhatják a magánéleted.”

Az Avast megbánta bűnét

A napokban Ondrej Vlcek az Avast első embere azt nyilatkozta a Forbesnak, hogy azonnal megszünteti a Jumpshot leányvállalatot és a minimum megkérdőjelezhető adatgyűjtési és kereskedelmi gyakorlatát. Elmondása szerint a Jumpshot az Avast teljes bevételének kb. 5%-át tette ki, így nem nagy veszteség.

Persze – és ezt már én teszem hozzá – a bizalmat ezzel eljátszotta. „Megbocsátok, de nem felejtek.” Elhiszi bárki is, hogy innentől „jók lesznek” és nem próbálkoznak valami zsiványsággal? Ami még kellemetlenebb, hogy vagy nyilvánosan az emberek képébe hazudik az Avast CEO, vagy aprópénzért eladta az ingyenes felhasználók adatait. Nem is tudom melyik a rosszabb. Azt tudjuk, hogy csak az Omnicom 631 millió forint értékben vásárolt be adatokból és nem gondolnám, hogy a többiek fukarkodtak volna. Szerintem jogosan feltételezhetünk összesen legalább 20 milliárd forint értékű vásárlásokat. Ha ez tényleg csak 5% körüli része a teljes bevételnek, akkor jól megy a cégnek és érthetetlen az adatkereskedelem. Ha sokkal szignifikánsabb, akkor lódított egy nagyot. Ki tudja?

Talán nagyobb kárt okozott ezzel az egész iparágnak és úgy összességében az IT biztonságnak, mint az elsőre látszik. Aki eddig sem bízott abban, hogy ezek a szoftverek érnek valamit, de mégis feltett valami ingyeneset, az innentől talán kétszer is meggondolja. Aki eddig bízott bennük, az ezután lehet soha nem is fog. Talán egy másik gyártónak sem fog bizalmat szavazni és főleg nem fog vásárolni. Még szerencse, hogy van a felhasználók többségének ingyen és automatikusan működő Windows Defender. Elég hamar elszabadulna a digitális pokol ezek nélkül.

Persze, egyrészről én is azt mondom az AV-król, hogy jobb esetben homeopátiás szoftverek, rosszabb esetben pedig rootkitek. De vannak nyilvánvaló dolgok, amiktől tényleg megvédik az egyszeri felhasználót és ez már sokszor elég. Voltak a múltban jó együttműködések az AV szoftvereket gyártó cégektől, amik csak azért működhettek, mert viszonylag sok gépen van valamilyen védelmi megoldás és kvázi egyszerre tudtak reagálni.

Persze nincs ingyen ebéd, valamit fel kell áldozni az ingyenesség érdekében. Az Avast felhasználók az böngészési adataikkal egyenlítették ki a számlát.

A cikk nagy részben fordítás. Az oknyomozó riport, ideértve a kiszivárgott dokumentumok elemzését, a Jumpshot ügyfelek megnevezését és pénzügyi adatokat is a Motherboard és a PCMag készítette el és írta le angol nyelven. A cikk eredeti nyelven itt olvasható.

Mivel a hivatkozott dokumentumokat nem láttam, így az eredeti írás valóságtartalmát sem tudtam ellenőrizni. A cikk abban a reményben került lefordításra és publikálásra, hogy hasznos lesz, és elősegítheti a tudatosabb számítógép használatot.

Az adatvédelem nem olyan dolog, amire elég csak évente egy alkalommal, világnap szerűen gondolni. Sokkal fontosabb, hogy az (adat)tudatos gondolkodás a mindennapjaink része legyen. Ezért (is) meleg szívvel ajánlom a Néhány szó az FSFE-ről: e-mail önvédelem megfigyelés ellen cikksorozatunkat.