Dit antivirusprogramma verkoopt stiekem je gegevens door aan grote bedrijven

Een antivirusprogramma dat door honderden miljoenen mensen over de wereld wordt gebruikt, verkoopt de zoekgeschiedenis van gebruikers door aan grote bedrijven als Google en Microsoft, blijkt uit een onderzoek van Motherboard en PCMag. We hebben gebruikersgegevens, contracten en andere documenten ingezien – gevoelige informatie die in principe vertrouwelijk hoort te zijn tussen het bedrijf dat de gegevens verkoopt en de klanten die het kopen.

Het antivirusprogramma, Avast, stuurt de gegevens door naar dochteronderneming Jumpshot, dat het weer doorverkoopt aan de bedrijven. Nadat iemand Avast installeert op z’n computer, verpakt Jumpshot dat in verschillende soorten producten die aan de grootste bedrijven ter wereld worden verkocht. Naast Google en Microsoft behoren ook Yelp, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast en Intuit tot (voormalige) klanten. Sommigen van hen hebben miljoenen betaald voor bijvoorbeeld All Clicks Feeds, waarmee ze tot in details kunnen bijhouden hoe gebruikers zich gedragen, waar ze op klikken en welke websites ze bezoeken.

Avast zegt meer dan 435 miljoen actieve gebruikers per maand te hebben, en Jumpshot zou over gegevens beschikken van 100 miljoen apparaten. Zelf zegt Avast alleen gegevens te gebruiken als de gebruiker daar toestemming voor heeft gegeven, maar meerdere Avast-gebruikers hebben Motherboard verteld dat ze niet wisten dat Avast deze data verkoopt. Dat roept op z’n minst de vraag op hoe goed gebruikers worden geïnformeerd.

De gegevens zijn onder andere Google-zoekopdrachten, locatie-zoekopdrachten en GPS-coördinaten op Google Maps, en bezoeken aan LinkedIn-pagina’s, YouTube-video’s en pornowebsites. Uit de verzamelde gegevens zou je precies kunnen terughalen op welk moment een anonieme gebruiker naar porno heeft gekeken, op welke site en op welke zoektermen hij of zij zocht.

De gegevens bevatten geen persoonlijke informatie zoals namen, maar het blijft een flinke verzameling van heel specifieke data, en volgens deskundigen zou je in bepaalde gevallen de identiteit van de gebruikers kunnen achterhalen.

In een persbericht uit juli zegt Jumpshot het enige bedrijf te zijn dat “door de datamuur kan komen” en “marketeers meer inzicht kan bieden in de reis die klanten online maken”. Onder meer Microsoft, Google en Tripadvisor behoren tot de klanten van Jumpshot, maar in de documenten worden ook bedrijven als Expedia, IBM, Intuit en L'Oréal genoemd. Werknemers zijn geïnstrueerd om niet publiekelijk te praten over de relatie die Jumpshot met deze merken heeft.

“Voor deze bedrijven zijn het geweldige gegevens, omdat ze gaan tot apparaatniveau en er een tijdsaanduiding bij zit,” zegt een bron, die we anoniem aan het woord laten omdat diegene zo opener over de zaak kan praten.

Tot voor kort verzamelde Avast de zoekgeschiedenis van mensen die een browserplugin hadden gedownload bedoeld om gebruikers te waarschuwen voor verdachte websites. In oktober schreef beveiligingsonderzoeker en bedenker van AdBlock Plus Wladimir Palant in een blogpost dat Avast die plugin gebruikt om gebruikersgegevens binnen te halen. Kort daarna verwijderden Mozilla, Opera en Google de extensies van Avast en dochterbedrijf AVG uit hun respectievelijke webwinkels. Avast had in 2015 al verklaard waarom en hoe ze deze gegevens verzamelen in zowel een blogpost als op het eigen forum. Sindsdien stuurt Avast geen gegevens die door deze extensies zijn verkregen door naar Jumpshot, laat het bedrijf weten in een verklaring aan Motherboard en PCMag.

Als we onze bron en de documenten mogen geloven, worden er echter nog steeds gegevens verzameld. Dat doet het bedrijf dan wel niet via dit soort plugins, maar via de antivirussoftware zelf. Uit een intern document blijkt dat Avast vorige week gebruikers van de gratis antivirussoftware om toestemming vroeg voor het verzamelen van gegevens, maanden nadat het al gegevens van de browser-extensies doorverkocht aan Jumpshot.

“Als ze toestemming geven, wordt dit apparaat onderdeel van het Jumpshot Panel en wordt alle browsergebaseerde internetactiviteit doorgegeven aan Jumpshot,” aldus een productomschrijving. Vervolgens kan daaruit worden opgemaakt welke websites er op het apparaat zijn opgezocht, in welke volgorde en wanneer.

Senator Ron Wyden, die in december nog aan Avast vroeg waarom het de zoekgeschiedenis van gebruikers verzamelt, zegt in een verklaring: “Het is bemoedigend om te zien dat Avast een einde heeft gemaakt aan de meest problematische praktijken, nadat we er op een constructieve manier over hebben gepraat. Maar ik ben wel bezorgd dat Avast nog niet heeft aangegeven gebruikersgegevens te verwijderen die zonder toestemming zijn verzameld, of dat het zou stoppen om deze gevoelige informatie door te verkopen. De enige verantwoordelijke manier op hiermee om te gaan is volledige transparantie richting klanten, en gegevens wissen die onder verdachte omstandigheden zijn verzameld in het verleden.”

Inmiddels vraagt Avast gebruikers via een pop-upbericht in de antivirussoftware om de toestemming te herzien. Meerdere gebruikers geven echter aan dat ze helemaal niet wisten dat Avast hun zoekgeschiedenis verkocht.

“Ik had geen flauw idee, en het klinkt eng,” zegt Keith, die de gratis software gebruikt en alleen met zijn voornaam in dit stuk wilde. “Normaal gesproken zeg ik altijd nee tegen het tracken van gegevens.” Het nieuwe pop-upbericht van Avast heeft hij nog niet gezien.

Motherboard en PCMag namen contact op met meer dan twintig bedrijven die in de interne documenten vermeld staan. Op onze vraag wat ze precies met deze gegevens doen reageerde er maar een paar.

“Soms gebruiken we informatie van derden om onze bedrijfsvoering, producten en diensten te verbeteren,” schreef een woordvoerder van Home Depot in een e-mail. “Het is voor ons belangrijk dat deze partijen de rechten hebben om deze informatie met ons te delen. In dit specifieke geval ontvingen we geanonimiseerde publieksgegevens, die niet gebruikt kunnen worden om individuele klanten te identificeren.”

Microsoft ging niet in op de vraag waarom het producten van Jumpshot heeft gekocht, maar gaf wel aan dat het geen zaken meer doet met het bedrijf. Een woordvoerder van Yelp liet in een e-mail weten: “In 2018 werd het beleidsteam van Yelp gevraagd om de impact in te schatten van het concurrentiebeperkende gedrag van Google op de lokale zoekmarkt – dat maakte deel uit van een informatieverzoek van mededingingsautoriteiten. Jumpshot was een keer eenmalig ingeschakeld om een rapport te genereren van geanonimiseerde trendgegevens, wat andere inschattingen van hoe Google internetverkeer naar zich toetrekt bevestigde. Er werd geen persoonlijk identificeerbare informatie verzocht of verkregen.”

Southwest Airlines gaf aan dat het in gesprek was met Jumpshot, maar niet tot een akkoord kwam. IBM zei dat het nooit een klant is geweest, en Altria zei dat het niet met Jumpshot werkt, al valt niet uit de reactie op te maken of dit eerst wel zo was geweest. Google is niet ingegaan op ons verzoek tot commentaar.

Op de website en in persberichten zegt Jumpshot zelf onder meer Pepsi en de consultancybedrijven Bain & Company en McKinsey als klanten te hebben.

Andere bedrijven zijn Expedia, Intuit en L'Oréal, en nog een aantal namen die Jumpshot zelf niet genoemd heeft: Keurig, dat koffiezetapparaten maakt, de YouTube-promotiedienst vidIQ en Hitwise, een bedrijf dat inzicht biedt in consumentengedrag. Ook zij gingen niet op onze verzoeken.

Op de website van Jumpshot zijn een aantal casestudies te lezen van hoe browsergeschiedenis eerder werd ingezet. Uitgeverij Condé Nast heeft bijvoorbeeld een product van Jumpshot gebruikt om te zien of reclames die het bedrijf liet zien ook tot meer aankopen op plekken als Amazon leidde. Ook Condé Nast reageerde niet op ons verzoek om commentaar.

Jumpshot verkoopt de verzamelde gegevens in de vorm van verschillende producten. Klanten in de financiële sector kopen bijvoorbeeld vaak een feed van de 10.000 domeinen die Avast-gebruikers het meest bezoeken, om zo trends te ontdekken, aldus de productomschrijving.

Een ander product is de zogeheten All Click Feed, waarmee klanten informatie kunnen kopen van alle kliks die Jumpshot heeft bijgehouden op een specifiek domein, zoals Amazon.com of Ebay.com.

In een tweet waarmee Jumpshot in december nieuwe klanten probeerde te werven, stond: “Elke zoekopdracht. Elke klik. Elke aankoop.” En dan, dikgedrukt: “Op elke site.”

De gegevens van Jumpshot kunnen laten zien hoe mensen die de antivirussoftware op hun computer geïnstalleerd hebben naar een bepaald product kunnen googelen, op Amazon terechtkomen, misschien ook nog op een andere site wat dingen het winkelwagentje doen en uiteindelijk een product kopen, aldus de bron.

Een bedrijf dat de All Clicks Feed heeft gekocht is onder meer het New Yorkse marketingbureau Omnicom Media Group, zo blijkt uit een kopie van het contract met Jumpshot. Daarin staat ook dat Omnicom Jumpshot in 2019 2.075.000 dollar (1.886.000 euro) betaalde om toegang tot gegevens te krijgen. Daarnaast kocht het bedrijf een Insight Feed voor twintig domeinen. De bedragen voor gegevens liggen voor 2020 en 2021 op respectievelijk 2.225.000 en 2.275.000 dollar (oftewel 2.022.347 en 2.067.793 euro).

Jumpshot gaf Omnicom toegang tot All Click Feeds uit veertien landen over de hele wereld, waaronder de Verenigde Staten, Engeland, Canada, Australië en Nieuw-Zeeland. Volgens het contract wordt persoonlijk identificeerbare informatie verwijderd, maar “op basis van zoekgedrag” zou het wel mogelijk zijn om het geslacht en leeftijd af te leiden. We verzochten Omnicom meerdere keren om commentaar, maar het bedrijf ging daar niet op in.

Volgens het contract van Omnicom wordt van iedere gebruiker het ‘Device ID’ gehasht, wat betekent dat het bedrijf dat de gegevens koopt niet in staat mag zijn om te achterhalen welke mensen er precies aan verbonden zijn. De producten van Jumpshot zijn bedoeld om inzicht te geven aan bedrijven die willen weten hoe gewild hun eigen producten zijn, en hoe goed hun reclamecampagnes werken.

“Om de verspreiding van persoonlijk identificeerbare gegevens tegen te gaan, noteren we niet op welk Device ID de kliks zijn uitgevoerd,” aldus een intern document van Jumpshot.

Dit betekent niet dat de gegevens altijd volledig anoniem blijven. In de productomschrijving staat dat device-ID’s niet per gebruiker verschillen, “tenzij een gebruiker de beveiligingssoftware deïnstalleert en weer opnieuw installeert.” Meerdere artikelen en onderzoeken hebben al laten zien hoe je mensen kunt ontmaskeren met geanonimiseerde gegevens. In 2006 konden journalisten van de New York Times een persoon identificeren aan de hand van een cache van zogenaamd anonieme zoekgegevens die internetaanbieder AOL had vrijgegeven. Uit een onderzoek uit 2017 van de Stanford-universiteit bleek dat het mogelijk was om mensen te identificeren uit anonieme zoekgeschiedenis – al was dit wel vooral gebaseerd op social-medialinks.

“De-identificatie is een erg storingsgevoelig proces gebleken; er zijn veel manieren waarop het fout kan gaan,” zegt Günes Acar, die onderzoek doet naar grootschalige internettracking aan de Katholieke Universiteit Leuven, bij de onderzoeksgroep Computerbeveiliging en Industriële Cryptografie.

Het wordt pas echt zorgelijk als je bedenkt hoe de mensen die de gegevens van Jumpshot uiteindelijk in handen krijgen die met hun eigen gegevens zouden kunnen combineren.

“Wat de-anonimisering vooral gevaarlijk maakt is dat je de informatie zo kunt koppelen aan andere gegevens,” zegt Acar. In een dataset die Motherboard en PCMag hebben verkregen is te zien hoe elk websitebezoek gekoppeld is aan een tijdsaanduiding tot op de milliseconde. Daardoor kan een bedrijf met zijn eigen klantengegevens eerst zien dat een klant zijn eigen site bezoekt, en diegene vervolgens met Jumpshot-gegevens volgen naar andere sites.

“Het is bijna onmogelijk om gegevens te de-identificeren,” zegt Eric Goldman, docent aan de Santa Clara University School of Law. “Als ze beloven dat ze dat doen, geloof ik ze gewoon niet.”

Motherboard en PCMag legden Avast een aantal specifieke vragen voor over hoe het de anonimiteit van gebruikers beschermt en over een aantal contracten van bedrijven. Op de meeste vragen ging Avast niet in, maar het liet wel in een verklaring het volgende weten: “Gezien onze aanpak kunnen we verzekeren dat Jumpshot geen persoonlijk identificeerbare informatie – dus geen namen, e-mailadressen of contactgegevens – verkrijgt van mensen die onze gratis antivirussoftware gebruiken.”

“Gebruikers hebben altijd de mogelijkheid gehad om niet akkoord te gaan met het delen van gegevens met Jumpshot,” gaat de verklaring verder. “In juli 2019 hebben we al geïmplementeerd dat mensen die onze software downloaden explicieter om toestemming wordt gevraagd, en dat proces zal in februari 2020 voltooid zijn. Ook benadrukt het bedrijf dat het voldoet aan de California Consumer Privacy Act (CCPA) en de Algemene verordening gegevensbescherming (AVG) in Europa.

“We hebben altijd de apparaten en gegevens van gebruikers beschermd voor malware, en begrijpen dat we de verantwoordelijkheid hebben om alleen de noodzakelijke hoeveelheid gegevens te gebruiken, zonder dat de privacy daarbij in het geding komt.”

Toen PCMag het antivirusprogramma van Avast deze maand voor het eerst installeerde, vroeg de software inderdaad toestemming voor het verzamelen van gegevens. Er staat: “Als u toestemming geeft, geven we onze dochteronderneming Jumpshot Inc. toegang tot een uitgeklede en gede-identificeerde dataset die afkomstig is van uw zoekgeschiedenis, met het doel om Jumpshot in staat te stellen om markten en zakelijke trends te analyseren en waardevolle inzichten op te doen.”

Hoe Jumpshot deze browsegeschiedenis precies gebruikt wordt verder niet gespecificeerd. Wel staat er: “De gegevens zijn volledig gede-identificeerd en gebundeld, en kunnen niet worden gebruikt om u persoonlijk te identificeren of te targetten. Jumpshot mag gebundelde inzichten delen met zijn klanten.”

Half januari tweette het account van dochteronderneming AVG: “Weet jij nog wanneer je voor het laatst je #browsergeschiedenis hebt gewist? Als je je zoekgeschiedenis lang bewaart neemt dat veel geheugen in beslag op je apparaat, en dat kan een risico zijn voor je persoonlijke informatie.”

Dit artikel verscheen oorspronkelijk bij VICE US.