Η Avast βρίσκεται ξανά σε ζεστό νερό: η θυγατρική πωλεί δεδομένα περιήγησης
- Κατηγορία: Ασφάλεια
Οι τελευταίοι μήνες δεν ήταν καλοί για το Avast. Από τότε η εταιρεία αντιμετώπισε ένα κύμα κριτικής μερικές από τις επιχειρηματικές πρακτικές της ήρθε στο φως. Ο Wladimir Palant ξεκίνησε όλα με μια λεπτομερή ανάλυση των επεκτάσεων του Avast.
Ανακάλυψε ότι οι επεκτάσεις μεταβίβασαν πληροφορίες ιστορικού περιήγησης στο Avast που υπερέβαιναν τα δεδομένα που απαιτούνται για την παροχή της ασφάλειας που υποσχέθηκε το προϊόν. Μεταξύ των δεδομένων ήταν η πλήρης διεύθυνση URL οποιασδήποτε σελίδας που επισκέφθηκε, ο τίτλος της σελίδας, η αναφορά (ιστότοπος από τον οποίο προήλθε ο χρήστης), καθώς και κάθε σύνδεσμος σε σελίδες αποτελεσμάτων αναζήτησης.
Ο Palant κατέληξε στο συμπέρασμα ότι η υπερβολική συλλογή δεδομένων δεν ήταν επίβλεψη αλλά σκόπιμη. Κατά συνέπεια, η Mozilla και η Google κατάργησαν τις επεκτάσεις Avast και AVG από τα αντίστοιχα καταστήματα ιστού τους. Η Avast ενημέρωσε τις επεκτάσεις της και είναι πλέον διαθέσιμες ξανά.
Κοινή έρευνα από Μέγγενη και Περιοδικό PC εξέτασε βαθύτερα τις επιχειρηματικές πρακτικές της Avast που περιλάμβαναν συλλεγμένα δεδομένα χρηστών Σύμφωνα με τις πληροφορίες, η θυγατρική Avast Jumpshot λαμβάνει δεδομένα από εγκαταστάσεις προστασίας από ιούς Avast σε συσκευές χρηστών, την επεξεργάζεται για να πουλήσει τα επεξεργασμένα δεδομένα σε εταιρείες.
Ένα προϊόν, που ονομάζεται All Clicks Feed, θα παρέχει σε εταιρείες, πελάτες, συμπεριλαμβανομένων μεγάλων εταιρειών όπως η Google, η Microsoft, η Pepsi, η Home Depot ή η McKinsey, πληροφορίες σχετικά με τη συμπεριφορά των χρηστών, τα κλικ και τη δραστηριότητα στους ιστότοπους που επισκέπτεστε με μεγάλη λεπτομέρεια.
Τα δεδομένα είναι ανώνυμα σύμφωνα με το Avast, πράγμα που σημαίνει ότι προσωπικά στοιχεία ταυτοποίησης όπως η διεύθυνση IP ενός χρήστη ή οι διευθύνσεις email καταργούνται από τα δεδομένα πριν από την πώληση.
Αν και φαίνεται καλό σε χαρτί, υπάρχουν μέθοδοι για την απο-ανωνυμοποίηση δεδομένων. Ένα πακέτο δεδομένων μπορεί να περιλαμβάνει ένα αναγνωριστικό συσκευής που σημαίνει ότι είναι αρκετά εύκολο να αναζητήσετε το ιστορικό περιήγησης μιας συγκεκριμένης συσκευής. Περιλαμβάνει ημερομηνία και ώρα, καθώς και πληροφορίες σχετικά με τον ιστότοπο που επισκέπτεστε.
Μία επιλογή που έχουν οι εταιρείες που αγοράζουν τα δεδομένα είναι να χρησιμοποιούν άλλες πηγές δεδομένων για τον προσδιορισμό μεμονωμένων χρηστών. Φανταστείτε το Google ή το Amazon να χρησιμοποιούν πληροφορίες ημερομηνίας, ώρας και URL για διασταύρωση με τη δραστηριότητα των χρηστών στους ιστότοπούς τους.
Εάν το πλήρες URL παρέχεται σε ένα πακέτο δεδομένων, θα μπορούσε επίσης να είναι εύκολο να προσδιοριστούν οι χρήστες ανάλογα με τη δραστηριότητα. Οι επισκέψεις σε μια προσωπική αρχική σελίδα, οι απαντήσεις στο Twitter, οι μεταφορτώσεις στο YouTube ή οποιαδήποτε άλλη δραστηριότητα που μπορεί να συνδέεται με λογαριασμούς θα παρέχουν σε τρίτους πληροφορίες σχετικά με τον πραγματικό χρήστη.
Σύμφωνα με τις εκθέσεις του PC Magazine and Vice, η Avast σταμάτησε να χρησιμοποιεί δεδομένα για «οποιοδήποτε άλλο σκοπό εκτός από τον πυρήνα του κινητήρα ασφαλείας». Το PC Magazine σημειώνει ότι το τμήμα Jumpshot της Avast μπορεί ακόμα να αποκτήσει δεδομένα μέσω των κύριων εφαρμογών προστασίας από ιούς του Avast (συμπεριλαμβανομένων αυτών από το AVG). Και οι δύο λύσεις προστασίας από ιούς περιλαμβάνουν ένα στοιχείο Web Shield που έχει σχεδιαστεί για να ελέγχει τις διευθύνσεις URL που έχουν επισκεφθεί για να διασφαλιστεί ότι δεν αποτελούν κίνδυνο ασφάλειας (π.χ. ιστότοποι ηλεκτρονικού ψαρέματος).