גרסת ה-Mac ו-Windows של אנטי וירוס Avast שימשה לקצירת נתוני משתמשים, כך טוענת חקירה, עם מידע רגיש שנמכר לצדדים שלישיים, כולל גוגל, מיקרוסופט ואינטואיט.
Avast מציעה מבחר של כלי אנטי וירוס ואבטחה חינמיים ובתשלום, בפורמטים חינמיים ובפורמטים בתשלום. הכלים פופולריים, עם יותר מ-435 מיליון משתמשים פעילים בחודש שמשתמשים בהם במחשבי Mac, PC ומכשירים ניידים, כדי לשמור על הנתונים שלהם מפני נזק.
כחלק מההיצע שלה, התוכנה של Avast מספקת אפשרות להצטרף לאפשר לחברה לאסוף כמה סוגים של נתוני משתמשים, שאותם היא מוכרת באמצעות חברת הבת Jumpshot. אחֲקִירָהעַל יְדֵיסְגָןוPC Magשימוש בנתוני משתמשים שדלפו, חוזים ומסמכים אחרים חשף הן את היקף המכירות הללו, כמו גם את רוחב הנתונים הנמכרים על ידי החברה.
נתונים שנרכשו עבור החקירה חשפו שהמידע שנאסף על ידי Avast הוא רחב טווח, כולל חיפושים בגוגל, חיפושי מיקום וקואורדינטות GPS ממפות גוגל, דפי לינקדאין ורישומי סרטונים ביוטיוב. מטריד יותר, רשומות ביקורים באתר פורנו שהינם אנונימיים מציעות את התאריך והשעה שבהם המשתמש ביקר באתרים, כמו גם מונחי חיפוש וסרטונים שצפו בחלק מהמקרים.
למרות המאמצים להפוך את הנתונים לאנונימיים, כמה מומחים טענו שניתן להשתמש בנתוני הגלישה הספציפיים ביותר כדי לגלות זהויות.
רשת רחבה
ייתכן שכמות הנתונים הנאספת אינה מומלצת היטב לצרכני Avast, כאשר החקירה הועלתה על ידי מספר משתמשים שהם לא היו מודעים למכירה של נתוני הגלישה האמורים.
החברה הבת טוענת שיש לה נתונים מ-100 מיליון מכשירים, כאשר החקירה טוענת ש-Jumpshot אורזת מחדש נתונים שנאספו מ-Avast למספר חבילות שונות. זה כולל גם אפשרות שנקראת "עדכון כל הקליקים", שבה לקוחות שילמו מיליוני דולרים כדי להיות מסוגלים לעקוב אחר התנהגותו ותנועתו של המשתמש באתרי אינטרנט.
רשימת הלקוחות כוללת חברות גדולות רבות, כמו גוגל, Yelp, מיקרוסופט ופפסי.
איסוף הנתונים התנהל, עד לאחרונה, באמצעות תוסף הדפדפן של Avast, כזה המספק אזהרות למשתמש לגבי אתרים חשודים וזדוניים. דו"ח של חוקר האבטחה ויוצר AdBlock Plus ולדימיר פאלנט באוקטוברנחשףהתוסף שימש לקצירת נתונים באוקטובר, מה שגרם למוזילה, אופרה וגוגל להסיר את הגישה להרחבות של Avast.
Avast אמרה לחקירה בהצהרה שהיא הפסיקה לספק נתוני גלישה שנאספו על ידי התוספות ל-Jumpshot.
החקירה מצאה עוד ממקור ומסמכים הדלפו כי Avast עדיין מבצעת קצירה, אך באמצעות תוכנת האנטי-וירוס עצמה, ולא באמצעות התוספים לדפדפן. בשבוע האחרון, מסמך פנימי חושף כי Avast החלה לבקש ממשתמשים בכלי האנטי וירוס החינמי להצטרף לאיסוף נתונים פעם נוספת.
"אם הם מצטרפים, המכשיר הזה יהפוך לחלק מ-Jumpshot Panel וכל פעילות אינטרנט מבוססת-דפדפן תדווח ל-Jumpshot", המליץ שורת טקסט מתוך מדריך פנימי. הנתונים שנאספו, על פי המסמך, יענו על שאלות לגבי כתובות האתרים שבהם ביקר המשתמש, וכן מתי ובאיזה סדר.
נתונים משתלמים
הנתונים הם הכנסה משתלמת עבור Avast. בעותקים של חוזים עם לקוחות Jumpshot, חברת שיווק אחת שילמה למעלה מ-2 מיליון דולר עבור גישה לנתונים ב-2019, שסיפקה "פיד של תובנה" ל-20 דומיינים מ-14 מדינות ברחבי העולם.
נתונים אלה כללו את המגדר המשוער של משתמשים על סמך התנהגות גלישה, גילם, "מחרוזת ה-URL כולה" עם מידע אישי מזהה שהוסר ופרטים נוספים. מזהי מכשיר עוברים "גייבוב" כדי למנוע זיהוי של אנשים על ידי לקוחות, אך מכיוון שמזהי המכשירים אינם משתנים עבור משתמש אלא אם הם התקינו מחדש לחלוטין את כלי Avast, הדבר עשוי לאפשר בניית כמות גדולה של נתונים על משתמש אחד לאורך זמן , מה שמוביל לזיהוי אפשרי בהמשך הקו.
Avast הודיעה לחקירה "בגלל הגישה שלנו, אנו מבטיחים ש-Jumpshot לא תרכוש מידע זיהוי אישי, כולל שם, כתובת אימייל או פרטי קשר, מאנשים המשתמשים בתוכנת האנטי-וירוס הפופולרית החינמית שלנו". החברה המשיכה בהצהרה ומדגישה שלמשתמשים יש את היכולת לבטל את שיתוף הנתונים, וכי היא החלה "ליישם בחירה מפורשת של הסכמה לכל ההורדות החדשות של ה-AV שלנו" החל מיולי 2019, עם כל הקיימות בחינם. משתמשים התבקשו לבצע בחירה עד פברואר 2020.
כמו כן, התעקש כי Avast מצייתת לחוק הפרטיות לצרכן בקליפורניה ול-GDPR של אירופה בכל בסיס המשתמשים הגלובלי שלה. "יש לנו רקורד ארוך של הגנה על המכשירים והנתונים של המשתמשים מפני תוכנות זדוניות, ואנו מבינים ולוקחים ברצינות את האחריות לאזן בין פרטיות המשתמש לבין השימוש הדרוש בנתונים", נכתב בהצהרה.
