「殺毒霸主」Avast,被曝挖掘 4.35 億用戶數據賣給 Google 和微軟

作者 | 發布日期 2020 年 01 月 29 日 10:33 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


曾經,Avast 做為全球知名的殺毒軟體,可以說是歐洲的驕傲,不僅擁有出色的殺毒能力,還免費開放,憑藉較低的硬體占用空間和更好的付費擴展服務贏得廣大用戶好感。然而,現在的 Avast 已經淪落為一家賴皮的流氓軟體廠商。

據了解,數月前微軟曾清理過一次系統清理軟體 CCleaner,其本身清理功能薄弱,安全防護也存在​​問題,而且還內置捆綁了 Avast 殺毒軟體。而 CCleaner 的母公司正是 2017 年就被 Avast 收購的 Piriform,此後 CCleaner 的品質和安全性能一直下降,Avast 還悄悄地捆綁了自己的軟體。

不僅如此,Avast 被曝旗下多款瀏覽器擴充工具都有嚴重侵犯用戶隱私的嫌疑,比如這些工具會在用戶使用時詳細記錄其操作蹤跡、用戶曾打開了哪些網頁、在網頁上停留了幾秒鐘等。

近日,根據外媒 Vice 和 PCMag 的聯合調查發現讓人更為惱怒的事,Avast 的 Mac 和 Windows 版殺毒軟體一直被用於暗中挖掘用戶數據,然後再把敏感訊息出售給包括 Google、微軟和財務軟體開發商 Intuit 等在內的第三方。

Avast 提供免費和付費的殺毒工具,每月大約有超過 4.35 億活躍用戶在 Macs、個人電腦和行動裝置上使用 Avast 的產品,保護他們的數據免受傷害。同時,Avast 的軟體提供了選擇加入的選項,允許公司收集某些類型的用戶數據,然後透過附屬公司 Jumpshot 進行銷售。

能賺錢的數據

這些銷售出的數據,對 Avast 而言是一筆豐厚的收入。

在與 Jumpshot 客戶的合約副本中,一家行銷公司在 2019 年為數據訪問支付了 200 多萬美元,這些數據包括基於瀏覽行為推斷的用戶性別、年齡、刪除個人身分訊息的「整個網址字符串」,以及其他細節。

雖然設備標識被「散列」以防止客戶端辨識個人,但由於設備標識不會因為用戶而改變,除非他們完全重新安裝 Avast 工具,這可能允許隨著時間推移在一個用戶上建立大量數據,進而導致「在線辨識」。

從 Avast 到 Jumpshot

據外媒披露,安裝在個人電腦上的 Avast 防病毒程式收集數據後,Jumpshot 將其重新打包,然後賣給 Google、美版大眾點評網 Yelp、微軟、麥肯錫、百事可樂、絲芙蘭、家得寶、康德納斯、Intuit 和許多其他公司。

一些客戶花了數百萬美元購買數據,它可以非常精確地追蹤用戶行為、點擊和跨網站操作,Avast 聲稱,每月有超過 4.35 億的活躍用戶,而 Jumpshot 宣稱有 1 億台設備的數據。Avast 從選擇加入的用戶那裡收集數據,然後提供給 Jumpshot,但多個 Avast 用戶告訴 Vice,他們並不知道 Avast 出售了瀏覽數據。

據 Vice 和 PCMag 獲得的訊息,這些數據包括 Google 搜尋、Google 地圖上位置和 GPS 坐標的查找、訪問公司 LinkedIn 頁面的人、特別是 YouTube 影片以及訪問色情網站的人。可以從收集的數據中確定匿名用戶訪問 YouPorn 和 PornHub 的日期時間,在某些情況下還可以確定他們在色情網站中輸入了什麼關鍵字,以及觀看了哪些特定影片。

(Source:Flickr/download.net.pl CC BY 2.0)

儘管這些數據不包括用戶姓名等個人訊息,但仍包含大量特定瀏覽數據,專家表示可能會取消某些用戶的姓名。

Jumpshot 在 7 月發布的一份新聞稿中稱,他們致力於讓行銷人員對在線用戶的行為有更深入的了解。Jumpshot 之前曾公開討論過其部分客戶,有提到包括 Expedia、IBM、Intuit,後者生產 TurboTax、Loreal 和 HomeDepot,公司要求員工不要公開談論 Jumpshot 與這些公司的關係。

聯合調查結果顯示,直到最近,數據收集都是透過 Avast 向用戶提供可疑和惡意網站警告的外掛程式。安全研究人員和 AdBlock Plus 創建者佛拉基米爾‧帕朗特(Wladimir Palant)在去年 10 月的一份報告中披露,該外掛曾在 10 月份被用來獲取數據,這促使 Mozilla、Opera 和 Google 取消了對 Avast 擴展的訪問。

針對這一調查,Avast 在聲明中表示,該公司已停止向 Jumpshot 提供擴展收集的瀏覽數據。但是調查進一步從來源和洩露的文件中發現,Avast 仍在進行數據收集,但透過殺毒軟體本身,而不是瀏覽器外掛。上週,一份內部文件顯示 Avast 已開始要求免費殺毒工具的用戶再次選擇加入數據收集。

去年 12 月,參議員 Ron Wyden 曾提問 Avast 為什麼要出售用戶的瀏覽數據,他在一份聲明中表示:「我擔心的是,Avast 尚未承諾刪除未經用戶選擇加入同意而收集和共享的用戶數據,或終止銷售敏感的網路瀏覽數據。唯一負責任的做法是對未來的客戶完全透明化,並清除過去在可疑條件下收集的數據。」

微軟就其購買 Jumpshot 產品的具體原因拒絕置評,並表示目前與該公司沒有任何關係。

家得寶發言人在電子郵件聲明中表示,「我們有時會利用第三方供應商的訊息來幫助改進我們的業務、產品和服務。我們要求這些供應商擁有與我們共享此訊息的適當權利。在這種情況下,我們會收到匿名的受眾數據,這些數據無法用於辨識個人客戶。」

西南航空表示,公司與 Jumpshot 進行了討論,但沒有與該公司達成協議。IBM 表示,它沒有做客戶的紀錄。

在其網站和新聞稿中,Jumpshot 將百事可樂、諮詢巨頭貝恩公司(Bain&Company)和麥肯錫(McKinsey)列為客戶。除了 Expedia、Intuit 和 Loreal,其他尚未在公開宣傳中提及的公司還包括咖啡公司 Keurig、YouTube 推廣服務 vidIQ 和消費者洞察公司 Hitwise,這些公司都沒有回應外媒的置評請求。

(本文由 雷鋒網 授權轉載,首圖來源:Flickr/matusiak CC BY 2.0)