Elvonóra küldik az Avastot, betegesen árulta a felhasználók adatait
A népszerű Avast ingyenes antivirus szoftver korábban egy Chrome-bővítményen, mobilalkalmazásán és egyéb – a magánéletvédelem megőrzését célzó – eszközein keresztül gyűjtötte az adatokat felhasználóiról.
Az Avast bármilyen „idegesítő követő cookie-t letilt, amely adatot gyűjt a böngészési tevékenységeidről”. Jó, a sajátját nem, de mentségére legyen szólva, hogy ő csak „anonim és összesített” formában tárolja azokat. Így szab gátat „a hackereknek, hogy pénzt keressenek a kereséseidből”.
Ez a nagyszerű ajánlat 2014 és 2020 között szerepelt a cég kínálatában. Eközben maga a vállalat milliószámra tárolta el felhasználói böngészési előzményeit. Nem csak tárolta: úgy értékesítette azokat több mint 100 vállalatnak, mintha nem lenne holnap. Az ügyleteket az azóta már leállított Jumpshot nevű jogi személyen keresztül végezték. Mindez az amerikai Federal Trade Comission (FTC) fogyasztóvédelmi hatóság jelentéséből derült ki.
Egy nemrég megjelent rendeletjavaslat értelmében az Avastnak 16,5 millió dollárnyi büntetést kellene fizetnie, amit „várhatóan a fogyasztók jogorvoslati lehetőségére fognak felhasználni”. Ezenfelül megtiltják a cégnek, hogy a jövőben böngészési adatokat értékesíthessen, a jövőbeni adatgyűjtésekhez pedig kifejezett hozzájárulást kell szerezniük. A további rendelkezések között szerepel egy „átfogó magánéletvédelmi program”, amely a korábbi magatartás kezelését célozza.
Az ügyet az Avast is kommentálta. Egy nyilatkozatban elmondták, miszerint a vállalat még 2020 elején leállította a Jumpshot működését. „Elkötelezettek vagyunk abban a küldetésünkben, amely az emberek digitális életének megerősítését és megóvását célozza. Bár nem értünk egyet az FTC állításaival és a tények jellemzésével, örömmel oldjuk meg ezt az ügyet, és várakozással tekintünk az elé, hogy továbbra is kiszolgálhassuk ügyfelek millióit világszerte” – áll a közleményben.
Csak az Avast szerint volt anonimitás
Az FTC panasza szerint az Avast még 2014 elején vásárolta meg a versenytárs Jumpshot antivirus céget. A vállalatot ezután átszervezték, analitikai értékesítőn lett belőle. A Jumpshot azzal reklámozta magát, hogy „egyedi betekintést” nyújt „több mint 100 millió online felhasználó” szokásaiba világszerte. Ez magában foglalt olyan adatokat, mint hogy „milyen tartalmakat böngésznek a látogatóid mielőtt és miután meglátogatják az oldaladat vagy a versenytársak oldalát”.
Noha az Avast és a Jumpshot azt állította, hogy az adatokat az azonosításra alkalmas információk nélkül tárolták, az FTC érvelése szerint azt csak ők hitték anonimnak. A Jumpshot kínálata között szerepelt egy egyedi eszközazonosító minden egyes böngészőre. Ez adatokat tartalmazott többek között az összes kattintásról és a keresésekről. Az FTC leírja, hogy a megrendelők azzal a kifejezett céllal is köthettek üzletet, hogy az adatokat a vállalat saját adataival párosítsák, egészen az egyes felhasználókra lebontva. Néhány Jumpshot-szerződés megpróbálta ugyan megtiltani az Avast-felhasználók újraazonosítását, de „ezek a tilalmak korlátozottak voltak” – jegyzi meg a panasz.
Az ügy már korábban is ismert volt
Az Avast és a Jumpshot közötti kapcsolat csak 2020 januárjában vált széleskörűen ismertté. Ekkor történt, hogy a Vice és a PC Magazine felfedte, miszerint olyan ügyfelek is vásároltak a közvetítői cégtől, mint a Home Depot, a Google, a Microsoft, a Pepsi vagy a McKinsey, és ezek a szerződések igencsak magabiztosnak tűntek. Ekkor derült ki, hogy a felhasználók akár Google Maps-kereséseket, individuális LinkedIn- és YouTube-profilfelkereséseket, pornóoldalakkal kapcsolatos adatokat és sok egyebet is vásárolhattak. „Ez egy nagyon részletes, és nagyszerű adat ezeknek a vállalatoknak, mert eszközszintűek és időbélyegzővel vannak ellátva” – mondta az egyik forrás a Vice-nak.
Az FTC biztosai 3-0 arányban szavaztak a panaszról. Ezenfelül elfogadták a javasolt büntetési tételeket is. Lina Khan elnöklő biztos valamint Rebecca Slaugher és Alvasro Bedoya biztosok nyilatkozatot adtak ki a szavazás eredményéről.
Az Avastnak minden bizonnyal nem tett jót a 2020-as botrány. A Jumpshot bezárása után felvásárolta őket a Gen Digital – az a cég, amely egyebek mellett a Norton, a LifeLock, az Avira, az AVG, a CCLeaner és a ReputationDefender biztonsági vállalkozások mögött áll.