A vírusirtó szoftvereket gyártó Avast évekig gyűjtötte és adta el ügyfelei böngészési adatait a felhasználók beleegyezése nélkül.
A brit Avast kiberbiztonsági szoftvercég 16,5 millió dolláros bírságot kapott, miután rajtakapták, hogy az ügyfelek adatait a beleegyezésük nélkül tárolta és értékesítette. Az amerikai Szövetségi Kereskedelmi Bizottság (FTC) a múlt héten jelentette be a bírságot, és bejelentette, hogy megtiltja az Avastnak, hogy felhasználói adatokat reklámozási célból értékesítsen. Az FTC vádja szerint 2014 és 2020 között az Avast víruskereső szoftverén és böngészőbővítményén keresztül gyűjtötte be a felhasználói webböngészési információkat. Ez lehetővé tette számára, hogy adatokat gyűjtsön a vallási meggyőződésről, az egészségügyi problémákról, a politikai nézetekről, a helyszínekről és a pénzügyi helyzetről. A cég ezt követően „határozatlan ideig” tárolta ezeket az információkat, és az ügyfelek tudta nélkül eladta több mint száz harmadik félnek.
Nem sikerült kellőképpen anonimizálni
A szaksajtó először 2020-ban hívta fel a figyelmet az Avast adatvédelmi gyakorlatára. Az Avast röviddel a jelentések megjelenése után leállította a Jumpshot nevű leányvállalatán keresztül folyó adatgyűjtést. Bár az Avast azt mondta, hogy a felhasználói adatok eladása előtt eltávolította az azonosító információkat, az FTC úgy találta, hogy „nem sikerült kellőképpen anonimizálnia a fogyasztók böngészési információit”. Ehelyett az egyes böngészőkhöz egyedi azonosítókkal ellátott adatokat értékesített, felfedve a meglátogatott webhelyeket, időbélyegeket, a használt eszköz és böngésző típusát, valamint a helyet.
Az FTC azt is állítja, hogy az Avast megtévesztette a felhasználókat azzal, hogy szoftvere segít megszüntetni a nyomon követést az interneten – amikor valójában maga végezte a követést. A 16,5 millió dolláros bírság mellett az FTC javasolt rendelete megakadályozza, hogy az Avast félreértelmezze, mit tesz az általa gyűjtött adatokkal. Le kell állítania az Avast-termékekből származó böngészési adatok „eladását vagy licencelését” a hirdetőknek, valamint törölnie kell a Jumpshot által megszerzett összes webböngészési adatot. Az Avast köteles értesíteni az érintett ügyfeleket arról is, hogy adataikat a tudta nélkül értékesítették.
Az Avast szóvivője, Jess Monney elmondta, hogy a cég beleegyezett, hogy 16,5 millió dollárt fizet az FTC díjainak rendezésére, önként bezárta a Jumpshotot, és 2020 januárjában beszüntette annak működését. Hozzátette, hogy a megállapodás működési rendelkezései már összhangban vannak az Avast jelenlegi adatvédelmi és biztonsági programjaival.