Avast prodával citlivá data jako historii prohlížení. Svou dceřinku nakonec uzavře

30. 1. 2020

Sdílet

Bezpečnostní produkt by měly počítač chránit. Jenže bezplatné produkty s sebou mohou nést určitá úskalí. Avast například důkladně sledoval, kudy brouzdáte. Data pak přeprodával přes svou dceřinku.

Oživeno dne 30. 1. 2020

Jak si chce bezpečnostní firma napravit jméno? Dnes řekla, že nejen ukončuje jakoukoli výměnu dat s Jumpshotem, svoji dceřinnou společnost dokonce natrvalo uzavře. Avast svůj záměr oznámil v tiské zprávě. Svůj postoj vyjadřuje v otevřeném dopise Ondřej Vlček, ředitel podniku.

Promlouvá v něm k investorům a investorkám, ale také k dalším zainteresovaným stranám. Uvedený krok ukazuje, že dosavadní akce nebyly dostatečné v otázce obnovení důvěry ve značku. Historie Avastu sahá až do roku 1988. V roce 2016 pak pohltil AVG Technologies.

„Hlavním posláním Avastu je chránit své uživatele na internetu a poskytnout jim kontrolu nad jejich soukromím. Jakékoli praktiky, které ohrožují důvěru uživatelů, jsou pro Avast neakceptovatelné. Bedlivě střežíme soukromí uživatelů a proto jsme co nejrychleji přikročili k procesu ukončení činnosti Jumpshotu v návaznosti na pochyby některých uživatelů o poskytování dat Jumpshotu, které není v souladu s naším posláním a zásadami, které nás jako společnost definují,“ uvádí Vlček.

Původní článek ze dne 29. 1. 2020

Tuzemský výrobce světově úspěšných antivirových produktů Avast byl nařčen z pochybného získávání velmi osobních dat na počítačích, což je praktika odhalená společným šetřením magazínů MotherboardPCMag. Svá zjištění doložily získanými interními dokumenty. Sběr a následný prodej dat označily za skutečnou cenu bezplatného antivirového produktu.

Antivirový program Avast se dnes v rámci instalace dotazuje na to, zda mu chcete umožnit sběr anonymizovaných dat, která vychází z historie prohlížení webových stránek. Tato data jsou následně poskytnuta dceřince Avastu, která se nazývá Jumpshot a pomáhá i velkým firmám porozumět chování spotřebitelů a spotřebitelek měřením jejich chování. Tyto subjekty pak mohou zlepšit své obchodní strategie a vydělat více.

V kostce se situace dá popsat tak, že Avast sleduje, kudy brouzdáte na webu, a tato data jsou následně zpeněžena jeho dceřinou společností. Již před koncem loňského roku Wladimir Palant, autor doplňku Adblock Plus, zjistil, že doplňky Avastu pro prohlížeče vytěžují uživatelská data. Zejména umožňovala rekonstruovat historii prohlížení. V reakci doplňky Avast Online Security, AVG Online Security, Avast SafePrice a AVG SafePrice ze svého katalogu odstranily Mozilla a Opera, nakonec i Google.

Podezření potvrzeno

Palant poukázal na to, že Avast prováděl sběr dat nad rámec potřeb svého softwaru, aniž by stanovil jasnou retenční politiku. Navíc podle určitých studií nemusí být problém aspoň část dat deanonymizovat. Avast koupil Jumpshot v roce 2013 a Palant spekuloval, že právě skrze tento subjekt bezpečnostní firma data využívá.

Tip: Souboj bezpečnostních expertů. Jsou antiviry přínosné, nebo je máme zahodit?

Nová zjištění podržení potvrzují. Jumpshot uvádí, že disponuje daty ze 100 milionů zařízení, Avast pak používá přes 435 milionů lidí. Jeho výrobce pak někdejší sběr a prodej dat potvrdil ve vyjádření, které nám zaslal, s tím, že od praktik už upustil. V tomto případě je jednak problémové, jak byl/je sběr dat komunikován. Podle Motherboardu řada lidí nevěděla, že Avast sbírané údaje dále přeprodával.

K potenciálním zákazníkům Jumpshotu patří např. Microsoft, který prý s firmou aktuálně nemá žádný vztah, IBM, které prý rovněž není zákazníkem, nebo Google. Z netechnologických firem jmenujme Pepsi, Sephoru nebo Condé Nast.

Můžeme data sbírat?

Tuzemská firma nám místo odpovědí na naše otázky zaslala pouze delší vyjádření níže. Nepotvrdila nám např. to, kterých všech produktů se sběr dat týkal. Podle všeho probíhal a probíhá jen skrze bezplatnou verzi antiviru.

Avast aspoň potvrdil, že sběr dat na počítačích probíhá dobrovolně až od července 2019, do té doby produkt neobsahoval výzvu, kde byste měli možnost se dobrovolně explicitně přihlásit. Do července jste se tak jen mohli vyvázat, pokud jste věděli, kam klepnout myší. Ani dnes produkt nekomunikuje do detailu, k čemu jsou data využita. Sdílení se třetími stranami nicméně probíhá, pokud jej povolíte.

Co se doplňků pro prohlížeče týče, o ty už bylo postaráno v prosinci, viz vyjádření níže. Od tohoto měsíce data posbíraná doplňky nepředává Jumpshotu a využívá je pouze pro potřeby antiviru.

Další část problematiky se týká možnosti deanonymizovat data, zejména díky spojení s dalšími daty nabíranými jinými cestami. Jumpshot disponuje adresami URL, která jsou doplněná časovým razítkem (s přesností milisekund). PCMag a Motherboard na základě odborných názorů tvrdí, že provést deanonymizaci je možné.

Vyjádření Avastu

 „V prosinci 2019 jsme rychle zareagovali a upravili naše bezpečnostní doplňky prohlížečů, tak aby splňovaly standardy obchodů s doplňky prohlížečů, takže vše nyní plně odpovídá jejich požadavkům. Současně jsme přestali používat jakákoliv data z bezpečnostních doplňků prohlížeče pro jiný účel, než je jádro našeho antivirového programu, včetně sdílení s naší dceřinou společností Jumpshot.

Ujišťujeme, že společnost Jumpshot nezískává osobní identifikační údaje jako jsou jména, e-mailové adresy nebo kontaktní údaje. Uživatelé měli vždy možnost odhlásit se a data se společností Jumpshot nesdílet. Od července 2019 jsme zavedli volbu „opt-in“, tedy možnost pro všechny nové uživatele zvolit si, zda chtějí data sdílet, nebo ne. Nyní také vyzýváme naše stávající uživatele bezplatného antivirového programu, aby se rozhodli pro možnost opt-in nebo opt-out. Tento proces bude dokončen v únoru 2020.

bitcoin_skoleni

Naše platné Zásady ochrany osobních údajů podrobně popisují způsob ochrany dat, který jsme zavedli pro všechny naše uživatele. Ti si také mohou upravit úroveň ochrany osobních údajů pomocí široké škály nastavení dostupných v našich produktech, včetně kontroly nad jakýmkoli sdílením dat. Globálně jsme se všude, kde působíme, dobrovolně přihlásili k dodržování požadavků na ochranu soukromí GDPR a kalifornského spotřebitelského zákona California Consumer Privacy Act (CCPA).

Avast má dlouhou historii ochrany zařízení a dat uživatelů před škodlivým malwarem. Vnímáme velmi vážně naši odpovědnost za nalezení rovnováhy mezi soukromím uživatelů a nezbytným používáním dat pro naše základní bezpečnostní produkty.“