Avast nakazał zaprzestać sprzedaży danych przeglądania ze swoich aplikacji chroniących prywatność przeglądania

Avast, marka znana z badań nad bezpieczeństwem i aplikacji antywirusowych, od dawna oferuje rozszerzenia do Chrome, aplikacje mobilne i inne narzędzia mające na celu zwiększenie prywatności.

Aplikacje Avast „blokowałyby irytujące śledzące pliki cookie, które zbierają dane o Twojej aktywności przeglądania” i uniemożliwiałyby usługom internetowym „śledzenie Twojej aktywności online”. W głębi swojej polityki prywatności Avast stwierdził, że gromadzone przez nią informacje będą „anonimowe i zbiorcze”. w swojej najzacieklejszej retoryce oprogramowanie Avast na komputery stacjonarne twierdziło, że powstrzyma „hakerów zarabiających na Twoich wyszukiwaniach”.

Według Federalnej Komisji Handlu cały ten język był oferowany, gdy Avast zbierał informacje o przeglądarkach użytkowników w latach 2014–2020, a następnie sprzedawał je ponad 100 innym firmom za pośrednictwem zamkniętej od tego czasu jednostki znanej jako Jumpshot . Zgodnie z proponowanym niedawnym nakazem FTC (PDF) Avast musi zapłacić 16,5 miliona dolarów, które według FTC „oczekuje się, że zostaną wykorzystane w celu zapewnienia konsumentom zadośćuczynienia” . Avast nie będzie mógł również sprzedawać danych przeglądania w przyszłości, będzie musiał uzyskać wyraźną zgodę na gromadzenie danych w przyszłości, powiadamiać klientów o wcześniejszej sprzedaży danych i wdrażać „kompleksowy program ochrony prywatności”, aby zapobiec wcześniejszemu postępowaniu.

Poprosiliśmy o komentarz firmę Avast, która przedstawiła oświadczenie, w którym odnotowała zamknięcie firmy Jumpshot na początku 2020 r. „Jesteśmy zaangażowani w naszą misję polegającą na ochronie i wzmacnianiu cyfrowego życia ludzi. Chociaż nie zgadzamy się z zarzutami FTC i charakterystyką faktów, cieszymy się, że możemy rozwiązać tę sprawę i nie możemy się doczekać dalszego świadczenia usług milionom naszych klientów na całym świecie” – czytamy w oświadczeniu.

Dane nie były anonimowe

W skardze FTC (PDF) zauważono, że po przejęciu przez Avast na początku 2014 r. ówczesnego konkurenta oprogramowania antywirusowego Jumpshot, firma zmieniła nazwę firmy na sprzedawcę narzędzi analitycznych. Firma Jumpshot reklamowała, że ​​oferuje „wyjątkowy wgląd” w zwyczaje „[m]ponad 100 milionów konsumentów online na całym świecie”. Obejmuje to możliwość „zobaczenia, dokąd zmierzają Twoi odbiorcy przed i po odwiedzeniu Twojej witryny lub Twojego witryn konkurencji, a nawet śledzić tych, którzy odwiedzają określony adres URL.”

Chociaż Avast i Jumpshot twierdziły, że z danych usunięto informacje umożliwiające identyfikację, FTC twierdzi, że to „niewystarczające”. Oferta Jumpshot obejmowała unikalny identyfikator urządzenia dla każdej przeglądarki, zawarty w danych takich jak „Kanał wszystkich kliknięć”, „Kanał kliknięć Search Plus” ”,”Kanał transakcyjny” i nie tylko. W skardze FTC szczegółowo opisano, w jaki sposób różne firmy kupowały te kanały, często z wyraźnym celem powiązania ich z własnymi danymi firmy, aż do indywidualnego użytkownika. W niektórych umowach Jumpshot próbowano zabraniać ponownej identyfikacji użytkowników Avast, ale „zakazy te były ograniczone” – zauważono w skardze.

Powiązanie między Avast i Jumpshot stało się szeroko znane w styczniu 2020 r., po tym jak doniesienia magazynu Vice i PC ujawniły, że klienci, w tym Home Depot, Google, Microsoft, Pepsi i McKinsey, kupowali dane od Jumpshot, co widać w poufnych umowach. Dane uzyskane w publikacjach pokazały, że kupujący mogli kupować dane, w tym wyszukiwania w Mapach Google, poszczególne strony LinkedIn i YouTube, strony pornograficzne i nie tylko. „Jest bardzo szczegółowy i stanowi doskonałe dane dla tych firm, ponieważ sprowadza się do poziomu urządzenia ze sygnaturą czasową” – powiedziało Vice jedno ze źródeł.

Skarga FTC zawiera więcej szczegółów na temat tego, jak Avast na swoich forach internetowych próbował bagatelizować swoją obecność w programie Jumpshot. Avast zasugerował, że do Jumpshot dostarczane były jedynie niezagregowane dane oraz że podczas instalacji produktu użytkownicy byli informowani o gromadzeniu danych w celu „lepszego zrozumienia nowych i interesujących trendów”. Żadne z tych twierdzeń nie okazało się prawdziwe, sugeruje FTC. Zebrane dane nie były wcale nieszkodliwe, biorąc pod uwagę ich charakter umożliwiający ponowną identyfikację:

Na przykład próba zaledwie 100 wpisów z bilionów zatrzymanych przez Respondentów
wykazała wizyty konsumentów na następujących stronach: artykuł akademicki na temat badań objawów
raka piersi; Ogłoszenie kandydatury senator Elizabeth Warren na prezydenta; kurs CLE
dotyczący zwolnień podatkowych; stanowiska rządowe w Fort Meade w stanie Maryland z pensją przekraczającą
100 000 dolarów; łącze (następnie przerwane) do środka wniosku FAFSA (pomoc finansowa);
wskazówki w Mapach Google z jednej lokalizacji do drugiej; hiszpańskojęzyczny
film na YouTube dla dzieci; link do francuskiego serwisu randkowego, zawierający unikalny identyfikator członka; i
erotyka cosplayowa.

W poście na blogu towarzyszącym ogłoszeniu , starsza prawniczka FTC Lesley Fair pisze, że oprócz podwójnego charakteru produktów Avast zapewniających prywatność i szerokiego zakresu śledzenia za pomocą Jumpshot, FTC coraz częściej postrzega dane przeglądania jako „wysoce wrażliwe informacje wymagające najwyższej ostrożności”. „Dane o stronach internetowych, które odwiedza dana osoba, to nie tylko kolejny majątek firmy, który można wykorzystać w nieskrępowany sposób w celach komercyjnych” – pisze Fair.

Komisarze FTC głosowali 3-0 za wydaniem skargi i przyjęciem proponowanej umowy o zgodzie. Przewodnicząca Lina Khan wraz z komisarzami Rebeccą Slaughter i Alvaro Bedoyą wydali oświadczenie w sprawie głosowania.

Od czasu skargi złożonej przez FTC i działalności Jumpshot firma Avast została przejęta przez Gen Digital , firmę obejmującą między innymi Norton, Avast, LifeLock, Avira, AVG, CCLeaner i ReputationDefender.

Ujawnienie: Condé Nast, spółka matka Ars Technica, otrzymała dane od Jumpshot przed jego zamknięciem.