Avast beordrade att sluta sälja surfdata från sina webbläsarintegritetsappar

Avast, ett namn känt för sina säkerhetsforsknings- och antivirusappar, har länge erbjudit Chrome-tillägg, mobilappar och andra verktyg som syftar till att öka integriteten.

Avasts appar skulle ”blockera irriterande spårningscookies som samlar in data om dina surfaktiviteter” och förhindra webbtjänster från att ”spåra din onlineaktivitet.” Djupt i sin integritetspolicy sa Avast att information som de samlade in skulle vara ”anonym och aggregerad.” Avasts hårdaste retorik hävdade att den skulle stoppa ”hackers som tjänar pengar på dina sökningar.”

Allt det språket erbjöds medan Avast samlade in användarnas webbläsarinformation från 2014 till 2020 och sedan sålde det till mer än 100 andra företag genom en sedan-slutad enhet känd som Jumpshot, enligt Federal Trade Commission. Enligt en föreslagen FTC-order (PDF) måste Avast betala 16,5 miljoner dollar, som ”förväntas användas för att ge konsumenterna gottgörelse”, enligt FTC . Avast kommer också att förbjudas att sälja framtida webbläsardata, måste erhålla uttryckligt samtycke för framtida datainsamling, meddela kunder om tidigare dataförsäljning och implementera ett ”omfattande integritetsprogram” för att hantera tidigare beteende.

Avast har nått för kommentar och lämnade ett uttalande som noterade företagets stängning av Jumpshot i början av 2020. ”Vi är engagerade i vårt uppdrag att skydda och stärka människors digitala liv. Även om vi inte håller med FTC:s anklagelser och karaktärisering av fakta, är vi glada över att kunna lösa detta ärende och ser fram emot att fortsätta att betjäna våra miljontals kunder runt om i världen”, står det i uttalandet.

Uppgifterna var långt ifrån anonyma

FTC :s klagomål (PDF) noterar att efter att Avast förvärvade den dåvarande antiviruskonkurrenten Jumpshot i början av 2014, omdöpte det företaget till en analytisk säljare. Jumpshot annonserade att det erbjöd ”unika insikter” i vanorna hos ”[m]er än 100 miljoner onlinekonsumenter över hela världen.” Det inkluderade möjligheten att ”se vart din publik är på väg före och efter att de besöker din webbplats eller din konkurrenternas webbplatser och till och med spåra de som besöker en specifik webbadress.”

Medan Avast och Jumpshot hävdade att informationen hade tagit bort identifierande information, hävdar FTC att detta ”inte var tillräckligt.” Jumpshot-erbjudanden inkluderade en unik enhetsidentifierare för varje webbläsare, inkluderad i data som ett ”Alla klick-flöde”, ”Search Plus Click Feed”. ””Transaktionsflöde” och mer. FTC:s klagomål detaljerade hur olika företag skulle köpa dessa flöden, ofta med det uttryckliga syftet att para ihop dem med ett företags egna data, ner till en individuell användarbasis. Vissa Jumpshot-kontrakt försökte förbjuda återidentifiering av Avast-användare, men ”dessa förbud var begränsade”, står det i klagomålet.

Kopplingen mellan Avast och Jumpshot blev allmänt känd i januari 2020, efter att rapporter från Vice och PC Magazine avslöjade att kunder, inklusive Home Depot, Google, Microsoft, Pepsi och McKinsey, köpte data från Jumpshot, vilket framgår av konfidentiella kontrakt. Data som erhållits från publikationerna visade att köpare kunde köpa data inklusive Google Maps-uppslagningar, enskilda LinkedIn- och YouTube-sidor, porrsajter och mer. ”Det är väldigt detaljerat och det är bra data för dessa företag, eftersom det är nere på enhetsnivå med en tidsstämpel,” sa en källa till Vice.

FTC:s klagomål ger mer detaljer om hur Avast, på sina egna webbforum, försökte tona ned sin Jumpshot-närvaro. Avast föreslog både att endast icke-aggregerad data lämnades till Jumpshot och att användarna informerades under produktinstallationen om att samla in data för att ”bättre förstå nya och intressanta trender.” Inget av dessa påståenden visade sig vara sant, föreslår FTC. Och de insamlade uppgifterna var långt ifrån ofarliga, med tanke på dess återidentifierbara natur:

Till exempel visade ett urval på bara 100 bidrag av biljoner som behölls av Respondenterna
besök av konsumenter på följande sidor: en akademisk uppsats om en studie av symtom
på bröstcancer; Sen Elizabeth Warrens tillkännagivande om presidentkandidatur; en CLE-kurs
om skattebefrielse; statliga jobb i Fort Meade, Maryland med en lön som överstiger
$100 000; en länk (sedan bruten) till mitten av en FAFSA-ansökan (finansiellt stöd);
vägbeskrivningar på Google Maps från en plats till en annan; en spanskspråkig
YouTube-video för barn; en länk till en fransk dejtingwebbplats, inklusive ett unikt medlems-ID; och cosplay
erotik.

I ett blogginlägg som åtföljer tillkännagivandet skriver FTC Senior Advokat Lesley Fair att, förutom den dubbla karaktären hos Avasts integritetsprodukter och Jumpshots omfattande spårning, ser FTC alltmer surfdata som ”mycket känslig information som kräver yttersta försiktighet.” ”Data om de webbplatser en person besöker är inte bara ytterligare en företagstillgång som är öppen för oinskränkt kommersiell exploatering,” skriver Fair.

FTC-kommissionärer röstade 3-0 för att utfärda klagomålet och acceptera det föreslagna samtyckesavtalet. Ordförande Lina Khan, tillsammans med kommissionärerna Rebecca Slaughter och Alvaro Bedoya, gjorde ett uttalande om sin röst.

Sedan tiden för FTC:s klagomål och dess Jumpshot-verksamhet har Avast förvärvats av Gen Digital , ett företag som innehåller Norton, Avast, LifeLock, Avira, AVG, CCLeaner och ReputationDefender, bland andra säkerhetsföretag.

Avslöjande: Condé Nast, Ars Technicas moderbolag, fick data från Jumpshot innan dess stängning.