Avast app

Dochterbedrijf van Avast Antivirus verkoopt gebruikersgegevens door aan grote bedrijven

Laatst bijgewerkt: 29 januari 2020
Leestijd: 3 minuten, 12 seconden

Antivirusbedrijf Avast verkoopt de browsergeschiedenis van zijn gratis softwaregebruikers, concludeerde een gezamenlijk onderzoek van Motherboard en PC Mag. Avast handelt niet rechtstreeks met geïnteresseerde partijen, maar maakt gebruik van een dochteronderneming genaamd Jumpshot. Klanten van deze gegevensmakelaar zijn onder meer Google, Microsoft, Home Depot, Pepsi, Unilever en McKinsey.

Zeer gevoelige browsergegevens verkocht

“Een antivirusprogramma dat door honderden miljoenen mensen over de hele wereld wordt gebruikt, verkoopt uiterst gevoelige webbrowsergegevens aan veel van ’s werelds grootste bedrijven”, aldus het onderzoek van Motherboard en PC Mag. “Elke zoekopdracht, elke klik en elke aankoop, op elke site” wordt verkocht aan iedereen die bereid is te betalen.

Uit gelekte documenten blijkt dat Avast naast de browsergeschiedenis ook de zoekgeschiedenis en GPS-coördinaten verzamelt. Ook is in deze gegevens te zien welke video’s gebruikers hebben bekeken op bijvoorbeeld YouTube en pornosites. In sommige gevallen werden de tijd dat een gebruiker de site bezocht, de specifieke video die ze bekeken en de zoekopdrachten die ze hadden ingevoerd ook vastgelegd.

De verkochte informatie is niet gekoppeld aan een persoon, maar het is wel mogelijk om de identiteit van een gebruiker te achterhalen. In de gegevens worden klanten geanonimiseerd door hen een apparaat-ID toe te schrijven. Hoewel je dan niet direct een naam zult tegenkomen is dit bij lange na niet anoniem. Wanneer apparaat-ID X met apparaat-type Y product Z koopt via de website van een bepaald bedrijf op een specifieke datum en tijd, is er weinig bekend over de identiteit van de consument. Maar het bedrijf dat product X verkoopt, kan gemakkelijk achterhalen wie dat product op die dag en tijd heeft gekocht. Plots heeft het apparaat-ID een naam. En alle andere informatie die Avast heeft over apparaat-ID X is niet langer anoniem.

All Clicks Feed

Volgens rapporten is Avast gestopt met het gebruik van klantgegevens voor andere doeleinden dan hun beveiligingsfunctie. Dochter Jumpshot kan echter nog steeds gegevens verkrijgen via de belangrijkste antivirusprogramma’s van Avast. Met deze gegevens heeft Jumpshot verschillende ‘datapakketten’ gecreëerd die het aan bedrijven verkoopt. “Sommige klanten betaalden miljoenen dollars voor producten die een zogenaamde” All Clicks Feed “bevatten, waarmee gebruikersgedrag, klikken en bewegingen over websites zeer nauwkeurig kunnen worden gevolgd”, aldus Motherboard.

Gegevens verkregen door Motherboard en PC Mag tonen aan dat sommige bedrijven hun aankoop van de persoonlijke gegevens geheim willen houden. Medewerkers worden geïnstrueerd om niet publiekelijk te praten over de relatie van hun bedrijf met Jumpshot. In een persbericht noemde Jumpshot eerder Condé Nast, Google, Microsoft, Revlon, Yelp en TripAdvisor als klanten. Andere mogelijke klanten zijn onder meer Bain & Company, Expedia, GfK, Hitwise, Home Depot, Intuit, L’Oréal, McKinsey, Pepsi en vidIQ.

Motherboard en PC Mag namen contact op met meer dan twintig bedrijven die in interne documenten werden genoemd. Ze kregen slechts enkele reacties op hun vragen.

Miljoenen gebruikers onbewust opt-in

Avast maakt al jaren antivirussoftware, waarvan sommige versies gratis worden aangeboden. Ze hebben meer dan 435 miljoen actieve gebruikers per maand. Van een kwart van de gebruikers worden gegevens verzameld, wat neerkomt op ongeveer 100 miljoen klanten. Slechts een kwart van de gebruikers wordt getroffen omdat het verzamelen van gegevens nu alleen mogelijk is als gebruikers daar middels een opt-in-knop toestemming voor hebben gegeven.

Helaas melden de meeste mensen zich nog steeds aan zonder de algemene voorwaarden te hebben gelezen. Hoewel de opt-in-optie wel aangeeft dat Jumpshot de gegevens gebruikt, wordt niet expliciet gezegd dat de gegevens vervolgens worden doorverkocht aan andere bedrijven. Veel gebruikers zeggen zich niet bewust te zijn geweest van het doorverkopen van de data. Het lijkt er dan ook op dat er iets mis gaat in de communicatie tussen Avast en hun klanten.

Het is niet de eerste keer dat Avast betrapt wordt op het verzamelen van privégegevens. Mozilla heeft onlangs een browserplug-in van het antivirusbedrijf verwijderd, toen bleek dat deze een onredelijke hoeveelheid privéinformatie naar de maker stuurde.

Tech-journaliste
Tove is reeds sinds 2017 als cybersecurity-redacteur betrokken bij VPNgids. Sinds 2019 is zij tevens coördinator voor het cybersecurity-nieuws dat op de website verschijnt.

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen