Η Avast προσφέρει μια επιλογή δωρεάν και μια αμειβόμενη για τα antivirus και security εργαλεία, τόσο σε free όσο και σε πληρωμένες μορφές. Τα εργαλεία είναι δημοφιλή, με περισσότερους από 435 εκατομμύρια ενεργούς χρήστες μηνιαίως, χρησιμοποιώντας το σε Mac, υπολογιστές και κινητές συσκευές, για να διατηρούν τα δεδομένα τους ασφαλή από βλάβες.
Ως μέρος των προσφορών του, το λογισμικό της Avast παρέχει την επιλογή συμμετοχής σε ένα πρόγραμμα που επιτρέπει στην επιχείρηση να συλλέγει μερικούς τύπους δεδομένων χρηστών, τα οποία στη συνέχεια πωλεί μέσω της θυγατρικής εταιρείας Jumpshot. Μια έρευνα της Vice και της PC Mag με τη χρήση διαφυγόντων δεδομένων χρηστών, συμβάσεων και άλλων εγγράφων έχει αποκαλύψει τόσο την έκταση αυτών των πωλήσεων, όσο και το εύρος των στοιχείων που πωλούνται από την επιχείρηση.
Τα δεδομένα που αποκτήθηκαν για την έρευνα αποκάλυψαν ότι οι πληροφορίες που συλλέχθηκαν από την Avast είναι ευρείες, συμπεριλαμβανομένων των αναζητήσεων Google, των αναζητήσεων τοποθεσίας και των συντεταγμένων GPS από τα Google Maps, τις σελίδες LinkedIn και τις καταχωρίσεις βίντεο του YouTube. Το ακόμη πιο ανησυχητικό είναι ότι καταγράφει επισκέψεις επισκεψιμότητας στο χώρο του ξενοδοχείου που είναι ανώνυμες και αναφέρουν την ημερομηνία και την ώρα που ο χρήστης επισκέφθηκε τα website, καθώς και όρους αναζήτησης και βίντεο που έχουν προβληθεί σε ορισμένες περιπτώσεις.
Παρά τις προσπάθειες ανωνυμοποίησης των δεδομένων, ορισμένοι εμπειρογνώμονες ισχυρίστηκαν ότι ειδικά τα δεδομένα περιήγησης θα μπορούσαν να χρησιμοποιηθούν για την εξακρίβωση των ταυτοτήτων.
Ο όγκος των δεδομένων που συλλέγονται ενδέχεται να μην είναι γνωστός στους καταναλωτές της Avast, ενώ η έρευνα συνιστάται από πολλούς χρήστες που δεν γνωρίζουν την πώληση των εν λόγω δεδομένων περιήγησης.
Η θυγατρική ισχυρίζεται ότι διαθέτει δεδομένα από 100 εκατομμύρια συσκευές, με την έρευνα να ισχυρίζεται ότι η Jumpshot ανασυσκευάζει τα δεδομένα που συλλέγονται από την Avast σε διαφορετικά πακέτα. Περιλαμβάνεται επίσης η λεγόμενη επιλογή “All Clicks Feed”, όπου οι πελάτες πληρώνουν εκατομμύρια δολάρια για να μπορούν να παρακολουθούν τη συμπεριφορά και τη “μετακίνηση” του χρήστη στα website.
Η λίστα των πελατών περιλαμβάνει πολλές μεγάλες εταιρείες, όπως τις Google, Yelp, Microsoft και Pepsi.
Η συλλογή των δεδομένων μέχρι πρόσφατα γινόταν μέσω του προγράμματος περιήγησης Avast, το οποίο παρέχει προειδοποιήσεις στον χρήστη σχετικά με ύποπτους και κακόβουλους ιστότοπους. Μια αναφορά από τον ερευνητή της ασφάλειας και τον δημιουργό της AdBlock Plus, Wladimir Palant τον Οκτώβριο αποκάλυψε ότι το plugin χρησιμοποιήθηκε για τη συγκομιδή δεδομένων τον Οκτώβριο, ζητώντας από τις Mozilla, Opera και Google να καταργήσουν την πρόσβαση στις επεκτάσεις του Avast.
Η Avast δήλωσε στην έρευνα σε μια δήλωση ότι σταμάτησε να παρέχει browser data που συλλέχθηκαν από τις επεκτάσεις του Jumpshot.
Η έρευνα εντόπισε από κάποια έγγραφα που είχαν διαρρεύσει ότι η Avast εξακολουθεί να εκτελεί τη συγκομιδή των δεδομένων, αλλά μέσω του ίδιου του antivirus, αντί των plugins του browser. Την περασμένη εβδομάδα, ένα εσωτερικό έγγραφο αποκάλυψε ότι η Avast έχει αρχίσει να ζητά από τους χρήστες του δωρεάν antivirus να επιλέξουν ξανά τη συλλογή δεδομένων.
Τα data είναι επικερδές εισόδημα για την Avast. Σε αντίγραφα συμβολαίων με πελάτες Jumpshot, μία marketing επιχείρηση κατέβαλε περισσότερα από 2 εκατομμύρια δολάρια για πρόσβαση δεδομένων το 2019, η οποία παρείχε ένα “Insight Feed” για 20 τομείς από 14 domains σε όλο τον κόσμο.
Αυτά τα δεδομένα περιελάμβαναν το φύλο των χρηστών με βάση τη συμπεριφορά περιήγησης, την ηλικία τους και άλλες λεπτομέρειες. Τα αναγνωριστικά συσκευής είναι “hashed” για να αποτρέψουν την ταυτοποίηση των ατόμων από τους πελάτες, αλλά επειδή τα αναγνωριστικά συσκευής δεν αλλάζουν για ένα χρήστη, εκτός εάν επανεγκαταστήσουν πλήρως τα εργαλεία Avast, αυτό θα μπορούσε να επιτρέψει τη συγκέντρωση μεγάλου όγκου δεδομένων σε ένα χρήστη με την πάροδο του χρόνου , με αποτέλεσμα την πιθανή ταυτοποίηση της γραμμής.
Η Avast ενημέρωσε την έρευνα ότι “λόγω της προσέγγισής μας, διασφαλίζουμε ότι το Jumpshot δεν αποκτά προσωπικά στοιχεία, όπως όνομα, email ή στοιχεία επικοινωνίας, από άτομα που χρησιμοποιούν το δημοφιλές δωρεάν antivirus”. Η εταιρεία συνέχισε σε μια δήλωση για να επαναλάβει ότι οι χρήστες είχαν τη δυνατότητα να εξαιρεθούν από την ανταλλαγή δεδομένων και ότι ξεκίνησε “την εφαρμογή μιας ρητής επιλογής opt-in για όλες τις νέες λήψεις του AV μας” από τον Ιούλιο του 2019, ζητώντας από όλους τους υπάρχοντες δωρεάν χρήστες να διαλέξουν έως το Φεβρουάριο του 2020.
