著名防病毒软件Avast收集用户数据并出售给Google,Microsoft

调查称,Mac和Windows版本的Avast防病毒软件收集用户数据,并通过子公司Jumpshot将一些敏感信息出售给第三方,包括Google,Microsoft和Intuit。

Avast提供了多种免费和付费的防病毒和安全工具。这些工具非常流行,每月有超过4.35亿活跃用户在Mac,PC和移动设备上使用该工具,以保护其数据免受伤害。

作为其产品的一部分,Avast的软件提供了选择加入的选项,以允许公司收集某些类型的用户数据,然后通过子公司Jumpshot出售这些数据。 Vice和PC Mag使用泄露的用户数据,合同和其他文件进行的调查揭示了这些销售的范围以及公司销售数据的广度。

调查获得的数据表明,Avast 收集的信息范围很广,包括 Google 搜索、位置查找和 Google 地图中的 GPS 坐标、LinkedIn页面和 YouTube 视频列表。更令人不安的是,记录的匿名色情网站访问记录提供了用户访问网站的日期和时间,以及在某些情况下的搜索词和观看的视频。

尽管努力对数据匿进行了匿名化,但一些专家声称,非常具体的浏览数据可以用来找出身份。

该子公司声称它拥有来自1亿个设备的数据,而调查称Jumpshot将从Avast收集的数据重新打包为许多不同的包。 这还包括一个所谓的“所有点击源”选项,客户支付了数百万美元,以便能够跟踪用户在网站上的行为和活动。

客户名单包括许多主要公司,例如Google,Yelp,Microsoft和Pepsi。

Avast在一份声明中告诉调查者,它已停止向Jumpshot提供收集的浏览数据。

调查进一步从来源和泄露的文档中发现,Avast仍在进行收集,但是是通过防病毒软件本身而不是浏览器插件进行的。 在上周的一份内部文件中显示,Avast已开始要求免费的防病毒工具的用户再次选择加入数据收集。

一份内部手册建议说:“如果他们选择加入,该设备将成为Jumpshot面板的一部分,并且所有基于浏览器的互联网活动都将报告给Jumpshot。” 根据该文档,收集的数据将回答有关用户访问过哪些 URL 以及何时访问以及以何种顺序访问的问题。

该数据对Avast来说是一笔可观的收入。在Jumpshot与客户的合同中,一家营销公司在2019年为这些数据支付了超过200万美元,该数据为来自14个国家/地区的20个域提供了“ Insight Feed”。

该数据包括根据浏览行为推断出的用户性别,用户年龄,删除了个人身份信息的“整个URL字符串”以及其他详细信息。设备ID经过了哈希,以防止客户端识别个人身份,但是由于设备ID不会为用户更改,除非它们完全重新安装了Avast工具,这可能会随着时间的推移在一个用户上积累大量数据,导致可能的识别。

Avast告知调查“由于我们的方法,我们确保Jumpshot不会从使用我们流行的免费防病毒软件的人员那里获得个人身份信息,包括姓名,电子邮件地址或联系方式。”该公司在一份声明中继续重申用户有能力选择不共享数据,并且自2019年7月起已开始“为AV的所有新下载实施明确的选择加入”,而所有现有免费提示用户在2020年2月之前做出选择。

该公司还坚称,Avast遵守《加州消费者隐私法》和欧洲的GDPR。声明强调:”我们在保护用户设备和数据免受恶意软件侵害方面有着悠久的记录,我们理解并认真对待平衡用户隐私与必要使用数据的责任。