Die Avast Antivirus-Tochtergesellschaft Jumpshot verkauft „Jede Suche. Jeden Klick. Jeden Kauf. Auf jeder Website“ von ihnen. Zu den Kunden von Jumpshot gehören Home Depot, Google, Microsoft, Pepsi und McKinsey.
Aktualisierung: Am Donnerstag nach dieser Untersuchung kündigte Avast an, die Datenerhebung von Jumpshot zu stoppen und die Operationen von Jumpshot mit sofortiger Wirkung abzubrechen. Die Originalgeschichte finden Sie unten.
Die Dokumente, die von einer Tochtergesellschaft des Antiviren-Riesen Avast namens Jumpshot stammen, werfen ein neues Licht auf die geheimen Verkaufs- und Lieferketten der Browserverläufe der Internetnutzer. Sie zeigen, dass das auf dem Computer einer Person installierte Antivirenprogramm von Avast Daten sammelt und dass Jumpshot diese in verschiedene Produkte umpackt, die dann an viele der größten Unternehmen der Welt verkauft werden. Zu den früheren, gegenwärtigen und potenziellen Kunden gehören Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit und viele andere. Einige Kunden haben Millionen von Dollar für Produkte bezahlt, die einen so genannten „All Clicks Feed“ enthalten, der das Nutzerverhalten, die Klicks und die Bewegungen auf den Websites mit hoher Genauigkeit verfolgen kann.
Avast gibt an, mehr als 435 Millionen aktive Benutzer pro Monat zu haben, und Jumpshot sagt, dass es Daten von 100 Millionen Geräten hat. Avast sammelt Daten von Benutzern, die sich dafür entschieden haben, und stellt diese dann Jumpshot zur Verfügung. Mehrere Avast-Benutzer erklärten jedoch gegenüber dem Motherboard, dass sie nicht wüssten, dass Avast Browsing-Daten verkauft hat, was Fragen darüber aufwirft, wie informiert diese Zustimmung ist.
Die von Motherboard und PCMag erhaltenen Daten umfassen Google-Suchen, Nachschlagen von Standorten und GPS-Koordinaten auf Google Maps, Personen, die die LinkedIn-Seiten von Unternehmen besuchen, bestimmte YouTube-Videos und Personen, die Pornowebsites besuchen. Aus den gesammelten Daten lässt sich feststellen, an welchem Datum und zu welcher Uhrzeit der anonymisierte Benutzer YouPorn und PornHub besucht hat, und in einigen Fällen, welchen Suchbegriff er auf der Pornoseite eingegeben und welches bestimmte Video er sich angesehen hat.
Obwohl die Daten keine persönlichen Informationen wie z.B. die Namen der Benutzer enthalten, enthalten sie dennoch eine Fülle spezifischer Browsing-Daten, und Experten sagen, dass es möglich sein könnte, bestimmte Benutzer zu deanonymisieren.
In einer Pressemitteilung vom Juli behauptet Jumpshot, „das einzige Unternehmen zu sein, das die „walled garden“ Daten freischaltet und versucht, „Vermarktern einen tieferen Einblick in die gesamte Online-Kundenreise zu geben“. Jumpshot hat bereits einige seiner Kunden öffentlich gemacht. Aber zu den anderen Unternehmen, die in Jumpshot-Dokumenten erwähnt werden, gehören Expedia, IBM, Intuit, das TurboTax herstellt, Loreal und Home Depot. Die Mitarbeiter sind angewiesen, nicht öffentlich über die Beziehungen von Jumpshot zu diesen Unternehmen zu sprechen.
„Es ist sehr granular, und es sind großartige Daten für diese Unternehmen, weil es bis auf die Geräteebene mit einem Zeitstempel geht“, sagte die Quelle und bezog sich dabei auf die Spezifität und Sensibilität der Daten, die verkauft werden. Motherboard gewährte der Quelle Anonymität, um offener über die Prozesse von Jumpshot sprechen zu können.
Bis vor kurzem sammelte Avast die Browsing-Daten seiner Kunden, die das Browser-Plugin des Unternehmens installiert hatten, das die Nutzer vor verdächtigen Websites warnen soll. Der Sicherheitsforscher und Schöpfer von AdBlock Plus, Wladimir Palant, veröffentlichte im Oktober einen Blog-Beitrag, aus dem hervorgeht, dass Avast mit diesem Plugin Benutzerdaten sammelt. Kurz darauf entfernten die Browserhersteller Mozilla, Opera und Google die Erweiterungen von Avast und der Tochtergesellschaft AVG aus ihren jeweiligen Browser-Erweiterungskatalogen. Avast hatte diese Datenerfassung und -freigabe bereits in einem Blog und einem Forumsbeitrag im Jahr 2015 erläutert. Seitdem hat Avast die von diesen Erweiterungen gesammelten Browsing-Daten nicht mehr an Jumpshot gesendet, sagte Avast in einer Erklärung an Motherboard und PCMag.
Die Datensammlung ist jedoch noch nicht abgeschlossen, wie die Quelle und die Dokumente zeigen. Anstatt die Informationen über eine an den Browser angeschlossene Software zu sammeln, macht Avast dies über die Antiviren-Software selbst. Letzte Woche, Monate, nachdem es mit seinen Browser-Erweiterungen entdeckt wurde, dass es Daten an Jumpshot sendet, begann Avast laut einem internen Dokument seine bestehenden kostenlosen Antiviren-Konsumenten zu bitten, sich für die Datensammlung zu entscheiden.
„Wenn sie sich dafür entscheiden, wird dieses Gerät Teil des Jumpshot-Panels und alle browserbasierten Internetaktivitäten werden Jumpshot gemeldet“, heißt es in einem internen Produkthandbuch. „Welche URLs haben diese Geräte in welcher Reihenfolge und wann besucht“, fügt es hinzu und fasst zusammen, welche Fragen das Produkt möglicherweise beantworten kann.
Senator Ron Wyden, der im Dezember Avast fragte, warum es die Browsing-Daten der Benutzer verkaufe, sagte in einer Erklärung: „Es ist ermutigend, dass Avast einige seiner beunruhigendsten Praktiken beendet hat, nachdem es konstruktiv mit meinem Büro zusammengearbeitet hat. Ich bin jedoch besorgt darüber, dass Avast sich noch nicht verpflichtet hat, Benutzerdaten zu löschen, die ohne die Zustimmung seiner Benutzer gesammelt und weitergegeben wurden, oder den Verkauf von sensiblen Internet-Browsing-Daten zu beenden. Die einzige verantwortliche Vorgehensweise ist, gegenüber den Kunden in Zukunft völlig transparent zu sein und Daten zu löschen, die in der Vergangenheit unter verdächtigen Bedingungen gesammelt wurden“.
Obwohl Avast die Benutzer derzeit auffordert, sich über ein Pop-up in der Antiviren-Software wieder in die Datensammlung einzulassen, gaben mehrere Avast-Benutzer an, dass sie nicht wüssten, dass Avast Browsing-Daten verkauft.
Motherboard und PCMag kontaktierten über zwei Dutzend Firmen, die in internen Dokumenten erwähnt werden. Nur eine Handvoll antworteten auf Fragen, was sie mit Daten tun, die auf der Browsing-Geschichte der Avast-Benutzer basieren.
„Wir verwenden manchmal Informationen von Drittanbietern, um unser Geschäft, unsere Produkte und Dienstleistungen zu verbessern. Wir verlangen von diesen Anbietern, dass sie die entsprechenden Rechte haben, diese Informationen mit uns zu teilen. In diesem Fall erhalten wir anonymisierte Publikumsdaten, die nicht zur Identifizierung einzelner Kunden verwendet werden können“, schrieb ein Home Depot-Sprecher in einer E-Mail-Erklärung.
Microsoft lehnte es ab, sich zu den Einzelheiten zu äußern, warum es Produkte von Jumpshot gekauft hat, sagte aber, dass es keine aktuelle Beziehung zu dem Unternehmen habe. Ein Yelp-Sprecher schrieb in einer E-Mail: „Im Jahr 2018 wurde das Richtlinienteam von Yelp im Rahmen einer Anfrage der Kartellbehörden gebeten, die Auswirkungen des wettbewerbswidrigen Verhaltens von Google auf den Markt für lokale Suchdienste abzuschätzen. Jumpshot wurde einmalig damit beauftragt, einen Bericht mit anonymisierten, hochrangigen Trenddaten zu erstellen, der andere Schätzungen über Googles Abschöpfung des Datenverkehrs aus dem Internet bestätigte. Es wurden keine PII angefordert oder abgerufen“.
Southwest Airlines gab an, Gespräche mit Jumpshot geführt zu haben, kam aber nicht zu einer Einigung mit dem Unternehmen. IBM gab an, dass es nicht als Kunde registriert sei, und Altria sagte, dass es nicht mit Jumpshot zusammenarbeite, obwohl es nicht spezifizierte, ob es dies zuvor getan habe. Sephora sagte, sie habe nicht mit Jumpshot zusammengearbeitet. Google reagierte nicht auf eine Anfrage nach einem Kommentar.
Auf seiner Website und in Pressemitteilungen nennt Jumpshot Pepsi sowie die Beratungsriesen Bain & Company und McKinsey als Kunden.
Neben Expedia, Intuit und Loreal sind weitere Unternehmen, die nicht bereits in den öffentlichen Ankündigungen von Jumpshot erwähnt werden, unter anderem das Kaffeeunternehmen Keurig, der YouTube-Promotion-Service vidIQ und die Consumer Insights-Firma Hitwise. Keines dieser Unternehmen reagierte auf eine Aufforderung zur Stellungnahme.
Auf seiner Website listet Jumpshot einige frühere Fallstudien zur Nutzung seiner Browsing-Daten auf. Der Zeitschriften- und Digitalmediengigant Condé Nast zum Beispiel nutzte die Produkte von Jumpshot, um zu sehen, ob die Anzeigen des Medienunternehmens zu mehr Käufen bei Amazon und anderswo führten. Condé Nast reagierte nicht auf eine Aufforderung zur Stellungnahme.
ALLE KLICKS
Jumpshot verkauft eine Vielzahl verschiedener Produkte, die auf Daten basieren, die von der auf den Computern der Benutzer installierten Antiviren-Software von Avast gesammelt wurden. Kunden aus dem institutionellen Finanzsektor kaufen oft einen Feed der 10.000 Top-Domains, die Avast-Benutzer besuchen, um zu versuchen, Trends zu erkennen, heißt es im Produkthandbuch.
Ein weiteres Jumpshot-Produkt ist der sogenannte „All Click Feed“ des Unternehmens. Er ermöglicht es einem Kunden, Informationen über alle Klicks zu kaufen, die Jumpshot auf einer bestimmten Domain wie Amazon.com, Walmart.com, Target.com, BestBuy.com oder Ebay.com gesehen hat.
In einem Tweet, der im letzten Monat verschickt wurde und neue Kunden anlocken sollte, bemerkte Jumpshot, dass es „Jede Suche“ sammelt. Jeden Klick“. Jeden Kauf. Auf jeder Website“.
Die Daten von Jumpshot könnten zeigen, wie jemand mit einem auf seinem Computer installierten Avast-Antivirus bei Google nach einem Produkt suchte, auf einen Link klickte, der zu Amazon führte, und dann vielleicht auf einer anderen Website einen Artikel in den Warenkorb legte, bevor er schließlich ein Produkt kaufte, erklärte die Quelle, die die Dokumente zur Verfügung stellte.
Ein Unternehmen, das den All Clicks Feed gekauft hat, ist die in New York ansässige Marketingfirma Omnicom Media Group, wie aus einer Kopie des Vertrags mit Jumpshot hervorgeht. Omnicom zahlte Jumpshot im Jahr 2019 2.075.000 Dollar für den Zugang zu den Daten, wie aus dem Vertrag hervorgeht. Er beinhaltete auch ein weiteres Produkt namens „Insight Feed“ für 20 verschiedene Bereiche. Die Gebühr für Daten in den Jahren 2020 und 2021 wird mit 2.225.000 bzw. 2.275.000 Dollar angegeben, so das Dokument.