Avast heeft opdracht gegeven om te stoppen met het verkopen van browsegegevens uit zijn browserprivacy-apps

Avast, een naam die bekend staat om zijn beveiligingsonderzoek en antivirus-apps, biedt al lang Chrome-extensies, mobiele apps en andere tools aan die gericht zijn op het vergroten van de privacy.

De apps van Avast zouden ‘vervelende trackingcookies blokkeren die gegevens over uw browse-activiteiten verzamelen’ en voorkomen dat webservices ‘uw online activiteiten volgen’. Diep in zijn privacybeleid zei Avast dat de verzamelde informatie ‘anoniem en geaggregeerd’ zou zijn. In zijn felste retoriek beweerde de desktopsoftware van Avast dat het ‘hackers zou tegenhouden om geld te verdienen met uw zoekopdrachten’.

Al dat taalgebruik werd aangeboden terwijl Avast tussen 2014 en 2020 browserinformatie van gebruikers verzamelde en deze vervolgens aan meer dan 100 andere bedrijven verkocht via een sindsdien opgeheven entiteit die bekend staat als Jumpshot , aldus de Federal Trade Commission. Op grond van een voorgesteld recent bevel van de FTC (PDF) moet Avast 16,5 miljoen dollar betalen, die “naar verwachting zal worden gebruikt om schadeloosstelling te bieden aan consumenten”, aldus de FTC . Het zal Avast ook verboden worden toekomstige browsegegevens te verkopen, moet uitdrukkelijke toestemming verkrijgen voor toekomstige gegevensverzameling, klanten op de hoogte stellen van eerdere gegevensverkopen en een ‘uitgebreid privacyprogramma’ implementeren om eerder gedrag aan te pakken.

Avast werd benaderd voor commentaar en legde een verklaring af waarin werd melding gemaakt van de sluiting van Jumpshot door het bedrijf begin 2020. “We zijn toegewijd aan onze missie om de digitale levens van mensen te beschermen en te versterken. Hoewel we het niet eens zijn met de aantijgingen en de karakterisering van de feiten door de FTC, zijn we blij deze kwestie op te lossen en kijken we ernaar uit om onze miljoenen klanten over de hele wereld te blijven bedienen”, aldus de verklaring.

De gegevens waren verre van anoniem

In de klacht van de FTC (pdf) wordt opgemerkt dat nadat Avast begin 2014 de toenmalige antivirusconcurrent Jumpshot had overgenomen, het bedrijf een nieuwe naam kreeg als verkoper van analyses. Jumpshot adverteerde dat het ‘unieke inzichten’ bood in de gewoonten van ‘meer dan 100 miljoen online consumenten wereldwijd’. Dat omvatte onder meer de mogelijkheid om ‘te zien waar uw publiek naartoe gaat voor en nadat ze uw site of uw website bezoeken’. sites van concurrenten, en zelfs degenen volgen die een specifieke URL bezoeken.”

Hoewel Avast en Jumpshot beweerden dat uit de gegevens identificerende informatie was verwijderd, beweert de FTC dat dit “niet voldoende” was. Het Jumpshot-aanbod omvatte een unieke apparaat-ID voor elke browser, opgenomen in gegevens zoals een “All Clicks Feed”, “Search Plus Click Feed”. ,””Transactiefeed,”en meer. In de klacht van de FTC werd gedetailleerd beschreven hoe verschillende bedrijven deze feeds zouden kopen, vaak met het uitdrukkelijke doel ze te koppelen aan de eigen gegevens van een bedrijf, tot op individuele gebruikersbasis. Sommige Jumpshot-contracten probeerden het opnieuw identificeren van Avast-gebruikers te verbieden, maar “die verboden waren beperkt”, aldus de klacht.

De connectie tussen Avast en Jumpshot werd algemeen bekend in januari 2020, nadat uit rapporten van Vice en PC Magazine bleek dat klanten, waaronder Home Depot, Google, Microsoft, Pepsi en McKinsey, gegevens van Jumpshot kochten, zoals blijkt uit vertrouwelijke contracten. Uit gegevens verkregen door de publicaties bleek dat kopers gegevens konden kopen, waaronder Google Maps-zoekopdrachten, individuele LinkedIn- en YouTube-pagina’s, pornosites en meer. “Het is heel gedetailleerd en het zijn geweldige gegevens voor deze bedrijven, omdat het gaat tot op apparaatniveau met een tijdstempel”, vertelde een bron aan Vice.

De klacht van de FTC geeft meer details over de manier waarop Avast op zijn eigen webforums zijn Jumpshot-aanwezigheid probeerde te bagatelliseren. Avast suggereerde zowel dat alleen niet-geaggregeerde gegevens aan Jumpshot werden verstrekt als dat gebruikers tijdens de productinstallatie werden geïnformeerd over het verzamelen van gegevens om “nieuwe en interessante trends beter te begrijpen”. Geen van deze beweringen bleek waar te zijn, suggereert de FTC. En de verzamelde gegevens waren verre van onschadelijk, gezien de heridentificeerbare aard ervan:

Uit een steekproef van slechts 100 inzendingen uit de biljoenen die door respondenten werden bewaard,
bleek bijvoorbeeld dat consumenten de volgende pagina’s bezochten: een academisch artikel over een onderzoek naar de symptomen
van borstkanker; Aankondiging van de presidentiële kandidatuur van senator Elizabeth Warren; een CLE-cursus
over belastingvrijstellingen; overheidsbanen in Fort Meade, Maryland met een salaris van meer dan
$100.000; een link (vervolgens verbroken) naar het middelpunt van een FAFSA-aanvraag (financiële hulp);
routebeschrijving op Google Maps van de ene locatie naar de andere; een Spaanstalige
YouTube-video voor kinderen; een link naar een Franse datingwebsite, inclusief een unieke leden-ID; en cosplay-
erotiek.

In een blogpost bij de aankondiging schrijft FTC Senior Attorney Lesley Fair dat, naast het dubbele karakter van de privacyproducten van Avast en de uitgebreide tracking van Jumpshot, de FTC browsergegevens steeds meer beschouwt als “zeer gevoelige informatie die de grootst mogelijke zorg vereist.” “Gegevens over de websites die iemand bezoekt zijn niet zomaar een bedrijfsmiddel dat openstaat voor onbelemmerde commerciële exploitatie”, schrijft Fair.

FTC-commissarissen stemden met 3-0 om de klacht in te dienen en de voorgestelde toestemmingsovereenkomst te aanvaarden. Voorzitter Lina Khan legde samen met commissarissen Rebecca Slaughter en Alvaro Bedoya een verklaring af over hun stemming.

Sinds de klacht van de FTC en zijn Jumpshot-activiteiten is Avast overgenomen door Gen Digital , een bedrijf dat onder meer Norton, Avast, LifeLock, Avira, AVG, CCLeaner en ReputationDefender omvat.

Openbaarmaking: Condé Nast, het moederbedrijf van Ars Technica, ontving vóór de sluiting gegevens van Jumpshot.