据外媒报道,根据互联网媒体公司Vice和科技媒体PCMag的联合调查,知名杀毒软件开发商Avast的Mac和Windows版杀毒软件一直被用于暗中挖掘用户数据,然后再把敏感信息出售给包括谷歌、微软和财务软件开发商Intuit在内的第三方。
Avast提供免费和付费的杀毒和安全工具。这些工具很受欢迎,每月有超过4.35亿活跃用户在Macs、个人电脑和移动设备上使用Avast的产品,保护他们的数据免受伤害。但是调查结果却显示,作为其产品的一部分,Avast的软件提供了选择加入的选项,允许公司收集某些类型的用户数据,然后通过附属公司Jumpshot进行销售。Vice和PCMag利用泄露的用户数据、合同和其他文件进行的调查,揭示了这些数据的销售的程度以及广度。
调查中获得的数据显示,Avast收集的信息范围广泛,包括谷歌搜索、谷歌地图的位置查询和全球定位系统坐标、LinkedIn页面和YouTube视频列表。更令人不安的是,数据还包括了用户匿名访问色情网站的日期和时间,以及某些情况下的搜索词和观看视频。尽管Avast努力匿名化这些数据,但专家们声称高度特定的浏览数据可以用来鉴别身份。
Avast收集的数据量可能没有很好地告知Avast的用户。接受Vice和PCMag调查的绝大多数用户均表示,他们并不知道自己的浏览数据会被Avast销售给第三方。
Jumpshot声称,它拥有1亿台设备的数据。该公司将从Avast收集的数据重新打包成多个不同的包。这其中还包括所谓的“所有点击源”选项,在该选项中,客户支付数百万美元能够跟踪用户的行为和跨网站的动向。Jumpshot的客户名单中包括了谷歌、微软、Intuit、美版“大众点评网”Yelp、以及百事可乐等。
联合调查结果显示,直到最近收集数据都是通过Avast的浏览器插件进行的,该插件向用户提供关于可疑和恶意网站的警告。安全研究人员和AdBlock Plus创建者弗拉基米尔·帕朗特(Wladimir Palant)在去年10月的一份报告中披露,该插件曾在10月份被用来获取数据,这促使Mozilla、Opera和谷歌取消了对Avast扩展的访问。
针对这一调查,Avast在声明中表示,该公司已停止向Jumpshot提供扩展收集的浏览数据。但是调查进一步从来源和泄露的文件中发现,Avast仍在进行数据收集,但通过杀毒软件本身,而不是浏览器插件。上周,一份内部文件显示Avast已开始要求免费杀毒工具的用户再次选择加入数据收集。
“如果他们选择加入,该设备将成为Jumpshot面板的一部分,所有基于浏览器的互联网活动都将报告给Jumpshot,”来自内部手册的一行文字建议。根据该文件,所收集的数据将回答用户访问了哪些网址,以及何时和以何种顺序访问的问题。
赚钱的数据
这些数据对Avast而言是一笔丰厚的收入。在与Jumpshot客户的合同副本中,一家营销公司在2019年为数据访问支付了200多万美元,该公司为来自全球14个国家的20个域名提供了“Feed洞察”。
这些数据包括基于浏览行为推断的用户性别、年龄、删除个人身份信息的“整个网址字符串”,以及其他细节。虽然设备标识被“散列”以防止客户端识别个人,但由于设备标识不会因为用户而改变,除非他们完全重新安装Avast工具,这可能允许随着时间的推移在一个用户上建立大量数据,从而导致可能的在线识别。
Avast对此表示,“由于我们的方法,我们确保Jumpshot不会从使用流行的免费杀毒软件的用户那里获取个人身份信息,包括姓名、电子邮件地址或联系方式。”该公司在声明中继续重申,用户有能力选择不共享数据,并且从2019年7月起,该公司已开始“对杀毒软件的所有新下载实施明确的选择加入,”所有现有的免费用户都将在2020年2月前做出选择。
该公司还坚称,在其全球用户群中,Avast符合美国加州消费者隐私法案和欧洲《通用数据保护条例》。该公司在声明中称:“我们在保护用户设备和数据免受恶意软件攻击方面有着悠久的历史,我们理解并认真对待平衡用户隐私和必要的数据使用的责任。”