Avast määräsi lopettamaan selaustietojen myynnin selaustietosuojasovelluksistaan

Tietoturvatutkimuksestaan ​​ja virustorjuntasovelluksistaan ​​tunnettu Avast on jo pitkään tarjonnut Chrome-laajennuksia, mobiilisovelluksia ja muita yksityisyyden lisäämiseen tähtääviä työkaluja.

Avastin sovellukset ”estäisivät ärsyttävät seurantaevästeet, jotka keräävät tietoja selaustoiminnastasi” ja estävät verkkopalveluita ”seuraamasta online-toimintaasi”. Yksityisyyskäytännössään Avast sanoi, että sen keräämät tiedot ovat ”anonyymejä ja koottuja”. Avastin työpöytäohjelmisto väitti, että sen rajuin retoriikka estää ”hakkereita ansaitsemasta rahaa hauillasi”.

Kaikki tämä kieli tarjottiin, kun Avast keräsi käyttäjien selaintietoja vuosina 2014–2020 ja myi niitä sitten yli 100 muulle yritykselle Jumpshot-nimellä tunnetun entiteetin kautta Federal Trade Commissionin mukaan. FTC:n äskettäisen määräyksen (PDF) mukaan Avastin on maksettava 16,5 miljoonaa dollaria, jota FTC:n mukaan ”oletetaan käytettävän korvausten tarjoamiseen kuluttajille” . Avast kielletään myös myymästä tulevia selaustietoja, sen on hankittava nimenomainen suostumus tulevaan tietojen keräämiseen, ilmoitettava asiakkaille aikaisemmista tietojen myynnistä ja otettava käyttöön ”kattava tietosuojaohjelma” aiemman toiminnan korjaamiseksi.

Kommentoimaan pyydetty Avast antoi lausunnon, jossa todettiin yrityksen Jumpshotin sulkeminen vuoden 2020 alussa. ”Olemme sitoutuneet tehtäväämme suojella ja vahvistaa ihmisten digitaalista elämää. Vaikka emme ole samaa mieltä FTC:n väitteiden ja tosiseikkojen luonnehdinnan kanssa, olemme iloisia voidessamme ratkaista tämän asian ja odotamme edelleen miljoonien asiakkaidemme palvelemista ympäri maailmaa”, lausunnossa sanotaan.

Tiedot eivät olleet anonyymejä

FTC :n valituksessa (PDF) huomautetaan, että kun Avast osti silloisen virustorjuntakilpailijan Jumpshotin vuoden 2014 alussa, se nimesi yrityksen uudelleen analytiikkamyyjäksi. Jumpshot mainosti tarjoavansa ”ainutlaatuisia näkemyksiä” ”[m]yli 100 miljoonan verkkokuluttajan tottumuksiin maailmanlaajuisesti.” Tämä sisälsi mahdollisuuden ”[nähdä] minne yleisösi on menossa ennen ja sen jälkeen, kun he vierailevat sivustollasi tai kilpailijoiden sivustoilla ja jopa seurata niitä, jotka vierailevat tietyssä URL-osoitteessa.”

Vaikka Avast ja Jumpshot väittivät, että tiedoista oli poistettu tunnistetiedot, FTC väittää, että tämä ”ei ollut tarpeeksi”. Jumpshot-tarjonta sisälsi jokaiselle selaimelle yksilöllisen laitetunnisteen, joka sisältyi tietoihin, kuten ”Kaikki napsautukset -syöte”, ”Search Plus Click Feed”. ”Tapahtumissyöte”ja paljon muuta. FTC:n valituksessa kerrottiin yksityiskohtaisesti, kuinka useat yritykset ostaisivat näitä syötteitä, usein nimenomaan tarkoituksenaan yhdistää ne yrityksen omiin tietoihin yksittäisten käyttäjien mukaan. Joissakin Jumpshot-sopimuksissa yritettiin kieltää Avast-käyttäjien uudelleentunnistaminen, mutta ”nämä kiellot olivat rajoitettuja”, valituksessa huomautetaan.

Avastin ja Jumpshotin välinen yhteys tuli laajalti tunnetuksi tammikuussa 2020, kun Vicen ja PC Magazinen raportit paljastivat, että asiakkaat, mukaan lukien Home Depot, Google, Microsoft, Pepsi ja McKinsey, ostivat tietoja Jumpshotilta, kuten luottamuksellisissa sopimuksissa näkyy. Julkaisujen keräämät tiedot osoittivat, että ostajat voivat ostaa tietoja, kuten Google Maps -hakuja, yksittäisiä LinkedIn- ja YouTube-sivuja, pornosivustoja ja paljon muuta. ”Se on hyvin rakeinen, ja se on hienoa dataa näille yrityksille, koska se on laitetasolla aikaleimalla”, yksi lähde kertoi Vicelle.

FTC:n valitus antaa lisätietoja siitä, kuinka Avast omilla verkkofoorumeillaan yritti vähätellä Jumpshot-läsnäoloaan. Avast ehdotti, että Jumpshotille toimitettiin vain ei-aggregoituja tietoja, ja että käyttäjille ilmoitettiin tuotteen asennuksen aikana tietojen keräämisestä ”uusien ja mielenkiintoisten trendien ymmärtämiseksi paremmin”. Kumpikaan näistä väitteistä ei osoittautunut todeksi, FTC ehdottaa. Ja kerätyt tiedot eivät olleet läheskään vaarattomia, kun otetaan huomioon sen uudelleen tunnistettavissa oleva luonne:

Esimerkiksi vain 100 vastaajien säilyttämistä biljoonista merkinnöistä koostuva otos osoitti, että kuluttajat ovat käyneet seuraavilla sivuilla: akateeminen artikkeli
rintasyövän
oireiden tutkimuksesta ;
Senaattori Elizabeth Warrenin presidenttiehdokkuudesta ilmoittaminen; CLE-kurssi
verovapauksista; valtion työpaikat Fort Meadessa, Marylandissa, joiden palkka on yli
100 000 dollaria; linkki (jolloin katkesi) FAFSA-hakemuksen (rahoitustuki) puoliväliin;
Google Mapsin reittiohjeet paikasta toiseen; espanjankielinen lasten
YouTube-video; linkki ranskalaiselle treffisivustolle, mukaan lukien yksilöllinen jäsentunnus; ja cosplay-
erotiikkaa.

FTC Senior Attorney Lesley Fair kirjoittaa ilmoitukseensa liittyvässä blogikirjoituksessa , että Avastin tietosuojatuotteiden ja Jumpshotin laajan seurannan lisäksi FTC näkee selaustietoja ”erittäin arkaluontoisina tietoina, jotka vaativat äärimmäistä huolellisuutta”. ”Tietot verkkosivustoista, joilla henkilö vierailee, eivät ole vain yksi yrityksen omaisuus, joka on avoin esteettä kaupalliseen hyödyntämiseen”, Fair kirjoittaa.

FTC:n komissaarit äänestivät 3–0 valituksen tekemisestä ja ehdotetun suostumussopimuksen hyväksymisestä. Puheenjohtaja Lina Khan sekä komission jäsenet Rebecca Slaughter ja Alvaro Bedoya antoivat lausunnon äänestyksestään.

FTC:n valituksen ja sen Jumpshot-liiketoiminnan jälkeen Gen Digital on ostanut Avastin , yritys, joka sisältää muun muassa Nortonin, Avastin, LifeLockin, Aviran, AVG:n, CCLeanerin ja ReputationDefenderin.

Paljastus: Condé Nast, Ars Technican emoyhtiö, sai tiedot Jumpshotilta ennen sen sulkemista.