原標題:殺毒軟件Avast被曝挖掘4.35億用戶數據 轉手賣給谷歌和微軟 來源:騰訊科技
[摘要]調查中獲得的數據顯示,Avast收集的信息范圍廣泛,包括谷歌搜索、谷歌地圖的位置查詢和全球定位系統坐標、linkedIn頁面和YouTube視頻列表。
騰訊科技訊 據外媒報道,根據互聯網媒體公司Vice和科技媒體PCMag的聯合調查,知名殺毒軟件開發商Avast的Mac和Windows版殺毒軟件一直被用于暗中挖掘用戶數據,然后再把敏感信息出售給包括谷歌、微軟和財務軟件開發商Intuit在內的第三方。
Avast提供免費和付費的殺毒和安全工具。這些工具很受歡迎,每月有超過4.35億活躍用戶在Macs、個人電腦和移動設備上使用Avast的產品,保護他們的數據免受傷害。但是調查結果卻顯示,作為其產品的一部分,Avast的軟件提供了選擇加入的選項,允許公司收集某些類型的用戶數據,然后通過附屬公司Jumpshot進行銷售。Vice和PCMag利用泄露的用戶數據、合同和其他文件進行的調查,揭示了這些數據的銷售的程度以及廣度。
調查中獲得的數據顯示,Avast收集的信息范圍廣泛,包括谷歌搜索、谷歌地圖的位置查詢和全球定位系統坐標、linkedIn頁面和YouTube視頻列表。更令人不安的是,數據還包括了用戶匿名訪問色情網站的日期和時間,以及某些情況下的搜索詞和觀看視頻。盡管Avast努力匿名化這些數據,但專家們聲稱高度特定的瀏覽數據可以用來鑒別身份。
Avast收集的數據量可能沒有很好地告知Avast的用戶。接受Vice和PCMag調查的絕大多數用戶均表示,他們并不知道自己的瀏覽數據會被Avast銷售給第三方。
Jumpshot聲稱,它擁有1億臺設備的數據。該公司將從Avast收集的數據重新打包成多個不同的包。這其中還包括所謂的“所有點擊源”選項,在該選項中,客戶支付數百萬美元能夠跟蹤用戶的行為和跨網站的動向。Jumpshot的客戶名單中包括了谷歌、微軟、Intuit、美版“大眾點評網”Yelp、以及百事可樂等。
聯合調查結果顯示,直到最近收集數據都是通過Avast的瀏覽器插件進行的,該插件向用戶提供關于可疑和惡意網站的警告。安全研究人員和AdBlock Plus創建者弗拉基米爾·帕朗特(Wladimir Palant)在去年10月的一份報告中披露,該插件曾在10月份被用來獲取數據,這促使Mozilla、Opera和谷歌取消了對Avast擴展的訪問。
針對這一調查,Avast在聲明中表示,該公司已停止向Jumpshot提供擴展收集的瀏覽數據。但是調查進一步從來源和泄露的文件中發現,Avast仍在進行數據收集,但通過殺毒軟件本身,而不是瀏覽器插件。上周,一份內部文件顯示Avast已開始要求免費殺毒工具的用戶再次選擇加入數據收集。
“如果他們選擇加入,該設備將成為Jumpshot面板的一部分,所有基于瀏覽器的互聯網活動都將報告給Jumpshot,”來自內部手冊的一行文字建議。根據該文件,所收集的數據將回答用戶訪問了哪些,以及何時和以何種順序訪問的問題。
賺錢的數據
這些數據對Avast而言是一筆豐厚的收入。在與Jumpshot客戶的合同副本中,一家營銷公司在2019年為數據訪問支付了200多萬美元,該公司為來自全球14個國家的20個域名提供了“Feed洞察”。
這些數據包括基于瀏覽行為推斷的用戶性別、年齡、刪除個人身份信息的“整個字符串”,以及其他細節。雖然設備標識被“散列”以防止客戶端識別個人,但由于設備標識不會因為用戶而改變,除非他們完全重新安裝Avast工具,這可能允許隨著時間的推移在一個用戶上建立大量數據,從而導致可能的在線識別。
Avast對此表示,“由于我們的方法,我們確保Jumpshot不會從使用流行的免費殺毒軟件的用戶那里獲取個人身份信息,包括姓名、電子郵件地址或聯系方式。”該公司在聲明中繼續重申,用戶有能力選擇不共享數據,并且從2019年7月起,該公司已開始“對殺毒軟件的所有新下載實施明確的選擇加入,”所有現有的免費用戶都將在2020年2月前做出選擇。
該公司還堅稱,在其全球用戶群中,Avast符合美國加州消費者隱私法案和歐洲《通用數據保護條例》。該公司在聲明中稱:“我們在保護用戶設備和數據免受惡意軟件攻擊方面有著悠久的歷史,我們理解并認真對待平衡用戶隱私和必要的數據使用的責任。”(騰訊科技編譯/明軒)
