Avast ordenou parar de vender dados de navegação de seus aplicativos de privacidade de navegação

Avast, um nome conhecido por suas pesquisas de segurança e aplicativos antivírus, há muito oferece extensões do Chrome, aplicativos móveis e outras ferramentas destinadas a aumentar a privacidade.

Os aplicativos da Avast “bloqueariam cookies de rastreamento irritantes que coletam dados sobre suas atividades de navegação” e impediriam que os serviços da web “rastreassem sua atividade online”. No fundo de sua política de privacidade, a Avast disse que as informações coletadas seriam “anônimas e agregadas”. Em sua retórica mais feroz, o software de desktop da Avast alegou que impediria “hackers de ganhar dinheiro com suas pesquisas”.

Toda essa linguagem foi oferecida enquanto a Avast coletava informações do navegador dos usuários de 2014 a 2020 e depois as vendia para mais de 100 outras empresas por meio de uma entidade já fechada conhecida como Jumpshot , de acordo com a Federal Trade Commission. De acordo com uma proposta recente de pedido da FTC (PDF), a Avast deve pagar US$ 16,5 milhões, que “devem ser usados ​​para fornecer reparação aos consumidores”, de acordo com a FTC . A Avast também será proibida de vender dados de navegação futuros, deverá obter consentimento expresso para coleta futura de dados, notificar os clientes sobre vendas anteriores de dados e implementar um “programa de privacidade abrangente” para abordar condutas anteriores.

Contatada para comentar, a Avast forneceu uma declaração que destacou o fechamento da Jumpshot pela empresa no início de 2020. “Estamos comprometidos com nossa missão de proteger e capacitar a vida digital das pessoas. Embora discordemos das alegações e da caracterização dos fatos da FTC, temos o prazer de resolver este assunto e esperamos continuar a servir nossos milhões de clientes em todo o mundo”, diz o comunicado.

Os dados estavam longe de ser anônimos

A reclamação da FTC (PDF) observa que depois que a Avast adquiriu o então concorrente de antivírus Jumpshot no início de 2014, ela rebatizou a empresa como vendedora de análises. A Jumpshot anunciou que oferecia “insights únicos” sobre os hábitos de “[mais] de 100 milhões de consumidores online em todo o mundo”. Isso incluía a capacidade de “[ver] para onde seu público está indo antes e depois de visitar seu site ou seu site”. sites dos concorrentes e até mesmo rastrear aqueles que visitam um URL específico.”

Embora Avast e Jumpshot alegassem que os dados tiveram informações de identificação removidas, a FTC argumenta que isso “não era suficiente”. As ofertas do Jumpshot incluíam um identificador de dispositivo exclusivo para cada navegador, incluído em dados como “Feed de todos os cliques”, “Search Plus Click Feed ”,”Feed de transação”e muito mais. A reclamação da FTC detalhava como várias empresas comprariam esses feeds, muitas vezes com o propósito expresso de combiná-los com os dados da própria empresa, até um usuário individual. Alguns contratos da Jumpshot tentaram proibir a reidentificação de usuários do Avast, mas “essas proibições eram limitadas”, observa a reclamação.

A conexão entre Avast e Jumpshot tornou-se amplamente conhecida em janeiro de 2020, depois que reportagens da Vice e PC Magazine revelaram que clientes, incluindo Home Depot, Google, Microsoft, Pepsi e McKinsey, estavam comprando dados da Jumpshot, conforme visto em contratos confidenciais. Os dados obtidos pelas publicações mostraram que os compradores poderiam comprar dados, incluindo pesquisas no Google Maps, páginas individuais do LinkedIn e do YouTube, sites pornográficos e muito mais. “É muito granular e são ótimos dados para essas empresas, porque se trata do nível do dispositivo com um carimbo de data e hora”, disse uma fonte à Vice.

A reclamação da FTC fornece mais detalhes sobre como a Avast, em seus próprios fóruns na web, procurou minimizar sua presença no Jumpshot. A Avast sugeriu que apenas dados não agregados fossem fornecidos ao Jumpshot e que os usuários fossem informados durante a instalação do produto sobre a coleta de dados para “compreender melhor tendências novas e interessantes”. Nenhuma dessas afirmações se provou verdadeira, sugere a FTC. E os dados recolhidos estavam longe de ser inofensivos, dada a sua natureza reidentificável:

Por exemplo, uma amostra de apenas 100 entradas dos triliões retidos pelos entrevistados
mostrou visitas de consumidores às seguintes páginas: um artigo académico sobre um estudo dos sintomas
do cancro da mama; Anúncio da candidatura presidencial da senadora Elizabeth Warren; um curso CLE
sobre isenções fiscais; empregos públicos em Fort Meade, Maryland, com salário superior a
US$ 100.000; um link (então quebrado) para o ponto intermediário de um pedido de FAFSA (ajuda financeira);
rotas no Google Maps de um local para outro;
um vídeo infantil no YouTube em espanhol ; um link para um site de namoro francês, incluindo um ID de membro exclusivo; e cosplay
erótico.

Em uma postagem no blog que acompanha seu anúncio , Lesley Fair, advogada sênior da FTC, escreve que, além da dupla natureza dos produtos de privacidade da Avast e do amplo rastreamento da Jumpshot, a FTC está cada vez mais vendo os dados de navegação como “informações altamente confidenciais que exigem o máximo cuidado”. “Os dados sobre os sites que uma pessoa visita não são apenas mais um ativo corporativo aberto à exploração comercial irrestrita”, escreve Fair.

Os comissários da FTC votaram 3 a 0 para emitir a reclamação e aceitar o acordo de consentimento proposto. A presidente Lina Khan, juntamente com os comissários Rebecca Slaughter e Alvaro Bedoya, emitiram uma declaração sobre o seu voto.

Desde o momento da reclamação da FTC e do seu negócio Jumpshot, a Avast foi adquirida pela Gen Digital , uma empresa que inclui Norton, Avast, LifeLock, Avira, AVG, CCLeaner e ReputationDefender, entre outras empresas de segurança.

Divulgação: Condé Nast, controladora da Ars Technica, recebeu dados da Jumpshot antes de seu fechamento.