Jak Avast w cwany sposób sprzedawał dane swoich użytkowników innym firmom

[Markus 21840]

Darmowe antywirusy są dobre, bo są darmowe. Różnice w skuteczności ich  działania, w porównaniu do płatnych antywirusów, dla większości  użytkowników domowych są pomijalne. Dlatego — co zrozumiałe i sensowne —  setki milionów internautów korzysta z darmówek. W naszych artykułach  wiele razy powtarzaliśmy, że “jeśli coś jest za darmo, to płacisz za to swoimi danymi“.  I jak się okazuje, Avast jest świetnym tego przykładem. I trochę  bezczelnym też. Bo producent — w przeciwieństwie do innych darmowych  aplikacji — zmuszał użytkowników do wyrażania zgody na sprzedaż danych,  zaciemniając przy tym pewne kulisy handlu tymi danymi.

 

[h=3]“Każde kliknięcie, każde wyszukanie, każdy zakup. Na każdej stronie”[/h] Tytuł tego akapitu to cytat z tajnych ofert handlowych, jakie firma Jumpshot (spółka zależna Avasta) przedstawiała swoim klientom, a do których dotarli dziennikarze PCMag i Vice.
 Jednym z produktów był tzw. “All clicks feed” (strumień wszystkich kliknięć [użytkownika]), który zawierał informacje o dokładnych ruchach użytkownika na stronach, jakie odwiedzał. W próbce danych pozyskanych przez dziennikarzy znajdowały się m.in.:
 

• dokładne zapytania do wyszukiwarki Google
• wyszukiwania lokalizacji (koordynatów GPS) na mapach Google
• osoby odwiedzające profile firm na LinkedIn
• osoby odwiedzające konkretne klipy na YouTube
• osoby odwiedzające strony porno
  

 Dane użytkowników są na szczęście zanonimizowane (brak danych osobowych), ale rekordy zawierają informacje o dokładnym czasie odwiedzenia strony i frazy wpisywane w wyszukiwarki na stronach, co w pewnych sytuacjach mogłoby (nawet bez współpracy z serwisem docelowym) posłużyć do deanonimizacji konkretnego użytkownika.
 Kto był zainteresowany takimi informacjami? Jumpshot wyznał, że z jego usług korzystały firmy, które na pewno dobrze znacie: Microsoft, Yelp, Sephora, Google, Expedia, IBM, Loreal, McKinsey czy Pepsi. Niektóre z nich za dane płaciły nawet kilka milionów dolarów rocznie!
 Uspokójmy jednak przerażonych — większość z tych firm zapewne średnio  interesują konkretne osoby. Są raczej zainteresowane trendami. Np. czy w  danym miesiącu (lub z miesiąca na miesiąc) zmienia się TOP 1000  najczęściej odwiedzanych stron WWW przez użytkowników Avasta, a jeśli  tak, dlaczego? Albo, czy dana reklama (nie odsyłająca do konkretnej  strony) spowodowała wzrost zakupów danego produktu na danej platformie  (np. Amazonie).

 

 

 

[h=3]To nie pierwsza szpiegowska wpadka w Avasta[/h] W październiku firma została przyłapana na tym, ze jej dodatki do przeglądarek Chrome i Firefox zbierały informacje na temat odwiedzanych przez użytkownika stron internetowych, za co Google, Mozilla i Opera usunęły rozszerzenie Avasta (i spółki zależnej AVG) ze swoich platform.
 Firma poinformowała wtedy, że zaprzestaje zbierania danych z  rozszerzeń. Ale najwyraźniej nie zaprzestała zbierania danych z samego  antywirusa…
 [h=3]Mam Avasta — co robić, jak żyć?[/h] Chociaż sprzedaż danych użytkowników jakiejś aplikacji zawsze jest  dla nich bulwersująca, to popatrzmy chłodno na ofertę Jumpshot, szukając  pozytywów. Firma informowała swoich klientów biznesowych, że dysponuje  danymi ze 100 miliona urządzeń, a sam Avast twierdzi, że ma 435 milionów aktywnych klientów. To oznacza, że nie wszyscy użytkownicy byli tak samo szpiegowani. Wyłączeni ze szpiegowania byli Ci, którzy się z niego świadomie wypisali w ustawieniach. Zrobiliście to?
 Innymi słowy, Avast sprzedwał dane tylko tych użytkowników, którzy wyrazili na to zgodę. Problem w tym, że wielu użytkowników miało wyrazić tę zgodę nieświadomie. Do lipca 2019, wedle dziennikarzy, użytkownicy musieli podczas instalacji wyrazić zgodę na przekazywanie danych firmom trzecim. Widzieli taki, cwany ekran, który wymuszał na nich zgodę na szpiegowanie:

 

 

Wszystko brzmi jakby logicznie i przejrzyście i zgodnie z prawem. A  jednak, z jakiegoś powodu Avast dopiero niedawno doszedł do wniosku, że  taki sposób informowania użytkowników o zbieraniu danych to jednak nie  jest przyzwoita sprawa. I zaczął swoim użytkownikom wyświetlać bardziej  przejrzyste okno z pytaniem o zgodę na zasysanie danych, tym razem już  umożliwiające wypisanie się z programu zbierania danych na etapie  instalacji:

 

Użytkownikom Avasta radzimy wiec wejść w ustawienia opcje i zakładkę “Prywatność”, a następnie upewnić się, że zgodna na przesyłanie danych do zewnętrznych firm jest ODZNACZONA, czyli NIE WYGLĄDA tak jak na poniższym obrazku:

 

Żródło niebezpiecznik