Avast-antivirussoftware bevindt zich in het wild op veel computers, en een nieuw onderzoek onthult een niet-geweldig trackrecord met gebruikersgegevens.
Het onderzoek is samengesteld door Ondeugd en PC Mag, en het laat zien dat er een lucratieve markt bestaat om gebruikersgegevens te verkopen aan grote externe bedrijven, waaronder niet alleen Google, maar ook Microsoft en Intuit. Er zijn meer dan 435 miljoen gebruikers die profiteren van de tools die Avast aanbiedt voor Macs, Windows-pc's en zelfs mobiele apparaten.
Uit het onderzoek blijkt dat Avast gebruikersgegevens heeft verzameld en vervolgens een dochteronderneming met de naam Jumpshot heeft gebruikt om deze te verkopen. Dit is allemaal gebaseerd op gelekte documentatie die contracten, gebruikersgegevens en meer toont. Wat de verzamelde informatie betreft, deze bevat GPS-coördinaten van Google Maps, YouTube-videolijsten, gegevens van LinkedIn-pagina's, zoekopdrachten op locatie en zelfs Google-zoekopdrachten.
De gegevens die zijn verkregen door Moederbord en PCMag omvatten Google-zoekopdrachten, opzoekingen van locaties en GPS-coördinaten op Google Maps, mensen die de LinkedIn-pagina's van bedrijven bezoeken, bepaalde YouTube-video's en mensen die pornowebsites bezoeken. Het is mogelijk om uit de verzamelde gegevens te bepalen welke datum en tijd de geanonimiseerde gebruiker YouPorn en PornHub heeft bezocht, en in sommige gevallen welke zoekterm ze op de pornosite hebben ingevoerd en welke specifieke video ze hebben bekeken.
Het valt allemaal uiteen in pakketten die worden verkocht door Jumpshot. Volgens het bedrijf zegt Jumpshot dat het gegevens heeft van 100 miljoen apparaten. Uit het onderzoek is gebleken dat Jumpshot de gebruikersgegevens die het van Avast heeft verzameld, opnieuw verpakt en met nog meer gegevens in andere pakketten samenvoegt, waardoor het allemaal bij elkaar komt. Klanten kunnen blijkbaar 'miljoenen dollars' betalen voor een 'All Clicks Feed'-optie, die het gedrag van een gebruiker op internet volgt.
Tot voor kort werden de gegevens verzameld door de webbrowser-plug-in van Avast. In oktober werd gemeld dat dit gebeurde, en als gevolg hiervan verwijderden Google, Mozilla en Opera alle de plug-inoptie uit hun browsers.
Avast stopte met het gebruik van de plug-in om gegevens te verzamelen. Het is echter niet gestopt met het verzamelen van gegevens van gebruikers. Het gebruikt alleen de antivirussoftware zelf om die gegevens nu te verzamelen. Een deel daarvan komt van de gratis optie, waarvan Avast zegt dat het gebruikers van de gratis laag op de hoogte stelt om gebruikersgegevens te laten verzamelen.
De gegevensverzameling is echter aan de gang, de bron en documenten geven aan. In plaats van informatie te verzamelen via software die aan de browser is gekoppeld, doet Avast dit via de antivirussoftware zelf. Vorige week, maanden nadat het werd opgemerkt met behulp van zijn browserextensies om gegevens naar Jumpshot te verzenden, begon Avast zijn bestaande gratis antivirusconsumenten te vragen zich aan te melden voor gegevensverzameling, volgens een intern document.
"Als ze zich aanmelden, wordt dat apparaat onderdeel van het Jumpshot-paneel en worden alle browsergebaseerde internetactiviteiten gerapporteerd aan Jumpshot", luidt een intern producthandboek. "Welke URL's hebben deze apparaten bezocht, in welke volgorde en wanneer?" Voegt het toe, samenvattend welke vragen het product mogelijk kan beantwoorden.
Gebruikersgegevens kopen is een lucratieve onderneming. Dat is logisch, gezien het aantal bedrijven dat het wil, en de moeite die het kost om het te krijgen. Uit het onderzoek bleek bijvoorbeeld dat één bedrijf meer dan $ 2 betaalde miljoen voor toegang tot gebruikersgegevens in 2019. Dat resulteerde in gegevens van 14 continenten over de hele wereld, waaronder maximaal 20 domeinen.
Bekijk hier een marketingvideo voor Jumpshot:
Microsoft weigerde commentaar te geven op de specifieke redenen waarom het producten van Jumpshot heeft gekocht, maar zei dat het geen huidige relatie met het bedrijf heeft. Een woordvoerder van Yelp schreef in een e-mail: “In 2018 werd het beleidsteam van Yelp gevraagd om een inschatting te maken van de impact van het concurrentiebeperkende gedrag van Google op de lokale zoekmarkt. Jumpshot werd eenmalig ingeschakeld om een rapport met geanonimiseerde trendgegevens op hoog niveau te genereren die andere schattingen van de overheveling van verkeer via internet door Google valideerde. Er is geen PII aangevraagd of geopend. "
In potentieel goed nieuws is niet elk bedrijf klaar om op de Jumpshot-bandwagon te springen. Southwest Airlines had bijvoorbeeld een gesprek met Jumpshot, maar dit ging niet door met het gebruik van haar diensten.
Voor Avast zegt het als onderdeel van het onderzoek dat het niet de naam of het e-mailadres bevat, of zelfs contactgegevens in de gegevens die het verzamelt. Het zegt ook dat het de gebruikers van zijn gratis software toestaat om zich af te melden voor de gegevensverzameling als ze dat willen. Vanaf juli 2019 is er een expliciete opt-in optie.
Het volledige onderzoek is absoluut de moeite van het lezen waard, dus ga het bekijken.
Wat vind je hiervan? Waar sta je met het verzamelen / oogsten van gegevens? Laat het ons weten in de reacties.