autor: Bartosz Świątek
Avast sprzedawał dane użytkowników
Firma Avast - odpowiedzialna za rozwijanie popularnych darmowych programów antywirusowych Avast oraz AVG - wykorzystywała instalowaną wraz z nimi wtyczkę do przeglądarki w celu gromadzenia prywatnych danych użytkowników. Informacje były następnie sprzedawane firmom trzecim przez podmiot podlegający Avastowi - Jumpshot.
Znany koncern Avast - producent popularnego darmowego programu antywirusowego - prawdopodobnie sprzedawał dane użytkowników, wykorzystując do tego celu podległą mu firmę Jumpshot. Mowa o naprawdę wrażliwych informacjach, takich jak historia odwiedzanych stron (z uwzględnieniem m.in. portali pornograficznych, YouTube czy oglądanych profili LinkedIn), a także wyszukiwania w serwisach Google czy nawet Google Maps. Informacje zostały ujawnione dzięki współpracy redakcji PCMag oraz Motherboard (portal będący częścią Vice), które dotarły do wewnętrznych dokumentów wspomnianego podmiotu podległego.
Wszystko i wszędzie
Dane użytkowników są zbierane z wykorzystaniem specjalnego rozszerzenia do przeglądarki internetowej, które jest instalowane razem z antywirusem i ma - o ironio - ostrzegać przed groźnymi stronami. Następnie są kompilowane w anonimowe paczki i sprzedawane. Co ciekawe, pośród klientów Jumpshot można znaleźć gigantów będących przedstawicieli wielu różnych branż i przemysłów. Na liście znajdziemy takie podmioty, jak Microsoft, Google, Pepsi, Sephora, Loreal, Expedia, IBM, Home Depot, Yelp czy Intuit.
Zasady prywatności Jumpshot mówią, że zbierane informacje są wykorzystywane do „tworzenia anonimowych pakietów danych, które umożliwiają Jumpshot budowanie usług i produktów do analizowania trendów”. Redakcja Motherboard potwierdziła jednak, że wielu użytkowników nie ma świadomości, że ich dane są sprzedawane firmom trzecim.
Każde kliknięcie, każde wyszukanie, każdy zakup. Na każdej stronie - cytat z jednej z tajnych ofert handlowych firmy Jumpshot.
Anonimowo, ale co z tego?
Rzecznik prasowy Avast zapewnił, że firma nie gromadzi danych identyfikacyjnych oraz kontaktowych - np. imion i nazwisk, e-maili czy numerów telefonu. Od lipca 2019 roku koncern daje też nowym użytkownikom wybór w czasie instalowania antywirusa (możemy odmówić udziału w programie Jumpshot). Podobna opcja jest oferowana także obecnym userom, którzy są informowani o sytuacji przez specjalne okno powiadomienia - przy czym zmiana jest wprowadzana stopniowo (do końca lutego wszyscy użytkownicy powinni otrzymać wybór).
Warto odnotować, że choć dane są anonimowe, zawarte w nich informacje w niektórych sytuacjach mogą posłużyć do zidentyfikowania konkretnej osoby. Są w nich bowiem takie detale, jak czas odwiedzenia strony czy wpisania hasła w wyszukiwarce, wraz z frazami, które zostały wówczas użyte. Dość łatwo zauważyć, z jak poważnym problemem możemy mieć do czynienia. Oczywiście większość podmiotów interesują internetowe trendy, do których określenia tożsamość użytkownika nie jest potrzebna. Nie da się jednak wykluczyć, że któryś z klientów Jumpshot kupował oferowane przez firmę pakiety w zupełnie innym celu.
Warto odnotować, że koncern Avast odpowiada także za inny popularny program antywirusowy - AVG. Powiązana z nim wtyczka prawdopodobnie była wykorzystywana w ten sam sposób.