“殺毒霸主”Avast被曝挖掘4.35億用戶數(shù)據(jù)賣給谷歌和微軟

曾今的Avast，作為全球知名的殺毒軟件，可以說(shuō)是歐洲的驕傲。

其不僅擁有出色的殺毒能力，還免費(fèi)對(duì)用戶開(kāi)放，憑借比較低的硬件占用空間和在此之上的付費(fèi)擴(kuò)展服務(wù)贏得廣大用戶的一眾好感。然而，現(xiàn)在的Avast已經(jīng)越來(lái)越多地淪落為一家賴皮的流氓軟件廠商。

據(jù)了解，數(shù)月前微軟曾清理過(guò)一次系統(tǒng)清理軟件CCleaner，其本身不僅清理功能薄弱，安全也存在問(wèn)題，而且還內(nèi)置捆綁了Avast殺毒軟件。而CCleaner的母公司正是2017年就被Avast收購(gòu)的Piriform，此后CCleaner的質(zhì)量服務(wù)和安全性能一直下降，Avast還悄悄地捆綁了自己的軟件。

不僅如此，Avast被曝旗下的多款瀏覽器插件都有嚴(yán)重侵犯用戶隱私的嫌疑，比如這些插件會(huì)在用戶使用時(shí)詳細(xì)記錄其操作的蹤跡，用戶曾打開(kāi)了哪些網(wǎng)頁(yè)和在網(wǎng)頁(yè)上停留了幾秒鐘等。

近日，根據(jù)外媒Vice和PCMag的聯(lián)合調(diào)查發(fā)現(xiàn)，讓人更為惱怒的是，Avast的Mac和Windows版殺毒軟件一直被用于暗中挖掘用戶數(shù)據(jù)，然后再把敏感信息出售給包括谷歌、微軟和財(cái)務(wù)軟件開(kāi)發(fā)商Intuit等在內(nèi)的第三方。

雷鋒網(wǎng)了解到，Avast提供免費(fèi)和付費(fèi)的這些殺毒和安全工具，每月大約有超過(guò)4.35億活躍用戶在Macs、個(gè)人電腦和移動(dòng)設(shè)備上使用Avast的產(chǎn)品，保護(hù)他們的數(shù)據(jù)免受傷害。同時(shí)，Avast的軟件提供了選擇加入的選項(xiàng)，允許公司收集某些類型的用戶數(shù)據(jù)，然后通過(guò)附屬公司Jumpshot進(jìn)行銷售。

“能賺錢”的數(shù)據(jù)

這些銷售出的數(shù)據(jù)，對(duì)于Avast而言是一筆豐厚的收入。

在與Jumpshot客戶的合同副本中，一家營(yíng)銷公司在2019年為數(shù)據(jù)訪問(wèn)支付了200多萬(wàn)美元，這些數(shù)據(jù)包括基于瀏覽行為推斷的用戶性別、年齡、刪除個(gè)人身份信息的“整個(gè)網(wǎng)址字符串”，以及其他細(xì)節(jié)。

雖然設(shè)備標(biāo)識(shí)被“散列”以防止客戶端識(shí)別個(gè)人，但由于設(shè)備標(biāo)識(shí)不會(huì)因?yàn)橛脩舳淖儯撬麄兺耆匦掳惭bAvast工具，這可能允許隨著時(shí)間的推移在一個(gè)用戶上建立大量數(shù)據(jù)，從而導(dǎo)致可能的在線識(shí)別。

Avast表示，“由于我們的方法，可以確保Jumpshot不會(huì)從使用流行的免費(fèi)殺毒軟件的用戶那里獲取個(gè)人身份信息，包括姓名、電子郵件地址或聯(lián)系方式等。”

該公司在聲明中繼續(xù)重申，用戶有能力選擇不共享數(shù)據(jù)，并且從2019年7月起，該公司已開(kāi)始對(duì)殺毒軟件的所有新下載實(shí)施明確的選擇加入，所有現(xiàn)有的免費(fèi)用戶都將在2020年2月前做出選擇。在其全球用戶群中，Avast符合美國(guó)加州消費(fèi)者隱私法案和歐洲《通用數(shù)據(jù)保護(hù)條例》。該公司在聲明中稱：

我們?cè)诒Ｗo(hù)用戶設(shè)備和數(shù)據(jù)免受惡意軟件攻擊方面有著悠久的歷史，我們理解并認(rèn)真對(duì)待平衡用戶隱私和必要的數(shù)據(jù)使用的責(zé)任。

從Avast到Jumpshot

據(jù)外媒披露，安裝在個(gè)人電腦上的Avast防病毒程序收集數(shù)據(jù)后，Jumpshot將其重新打包，然后賣給谷歌、美版“大眾點(diǎn)評(píng)網(wǎng)”Yelp、微軟、麥肯錫、百事可樂(lè)、絲芙蘭、家得寶、康德納斯、Intuit和許多其他公司。

客戶瀏覽數(shù)據(jù)的供應(yīng)鏈

一些客戶花了數(shù)百萬(wàn)美元購(gòu)買的服務(wù)，它可以非常精確地跟蹤用戶的行為、點(diǎn)擊和跨網(wǎng)站的操作。Avast聲稱，每月有超過(guò)4.35億的活躍用戶，而Jumpshot宣稱有1億臺(tái)設(shè)備的數(shù)據(jù)。Avast從選擇加入的用戶那里收集數(shù)據(jù)，然后提供給Jumpshot，但多個(gè)Avast用戶告訴Vice，他們并不知道Avast出售了瀏覽數(shù)據(jù)。

據(jù)Vice和PCMag獲得的信息，這些數(shù)據(jù)包括谷歌搜索、谷歌地圖上位置和GPS坐標(biāo)的查找、訪問(wèn)公司LinkedIn頁(yè)面的人、特別是YouTube視頻以及訪問(wèn)色情網(wǎng)站的人?？梢詮氖占臄?shù)據(jù)中確定匿名用戶訪問(wèn)YouPorn and PornHub的日期和時(shí)間，在某些情況下還可以確定他們?cè)谏榫W(wǎng)站中輸入了什么搜索詞以及觀看了哪些特定視頻。

盡管這些數(shù)據(jù)不包括用戶姓名等個(gè)人信息，但仍包含大量特定的瀏覽數(shù)據(jù)，專家表示可能會(huì)取消某些用戶的姓名。

Jumpshot在7月發(fā)布的一份新聞稿中稱，他們致力于讓營(yíng)銷人員對(duì)在線用戶的行為有更深入的了解。Jumpshot此前曾公開(kāi)討論過(guò)其部分客戶，有提到包括Expedia、IBM、Intuit，后者生產(chǎn)TurboTax、Loreal和HomeDepot，公司要求員工不要公開(kāi)談?wù)揓umpshot與這些公司的關(guān)系。

聯(lián)合調(diào)查結(jié)果顯示，直到最近收集數(shù)據(jù)都是通過(guò)Avast的瀏覽器插件進(jìn)行的，該插件向用戶提供關(guān)于可疑和惡意網(wǎng)站的警告。安全研究人員和AdBlock Plus創(chuàng)建者弗拉基米爾·帕朗特（Wladimir Palant）在去年10月的一份報(bào)告中披露，該插件曾在10月份被用來(lái)獲取數(shù)據(jù)，這促使Mozilla、Opera和谷歌取消了對(duì)Avast擴(kuò)展的訪問(wèn)。

針對(duì)這一調(diào)查，Avast在聲明中表示，該公司已停止向Jumpshot提供擴(kuò)展收集的瀏覽數(shù)據(jù)。但是調(diào)查進(jìn)一步從來(lái)源和泄露的文件中發(fā)現(xiàn)，Avast仍在進(jìn)行數(shù)據(jù)收集，但通過(guò)殺毒軟件本身，而不是瀏覽器插件。上周，一份內(nèi)部文件顯示Avast已開(kāi)始要求免費(fèi)殺毒工具的用戶再次選擇加入數(shù)據(jù)收集。

“如果他們選擇加入，該設(shè)備將成為Jumpshot面板的一部分，所有基于瀏覽器的互聯(lián)網(wǎng)活動(dòng)都將報(bào)告給Jumpshot，”來(lái)自內(nèi)部手冊(cè)的一行文字建議。根據(jù)該文件，所收集的數(shù)據(jù)將回答用戶訪問(wèn)了哪些網(wǎng)址，以及何時(shí)和以何種順序訪問(wèn)的問(wèn)題。

Why?

去年12月，參議員Ron Wyden曾提問(wèn)Avast為什么要出售用戶的瀏覽數(shù)據(jù)，他在一份聲明中表示：

“令人鼓舞的是，Avast在與我進(jìn)行了建設(shè)性的接觸后，結(jié)束了一些最麻煩的做法。不過(guò)，我擔(dān)心的是，Avast尚未承諾刪除未經(jīng)用戶選擇加入同意而收集和共享的用戶數(shù)據(jù)，或終止銷售敏感的互聯(lián)網(wǎng)瀏覽數(shù)據(jù)。唯一負(fù)責(zé)任的做法是對(duì)未來(lái)的客戶完全透明，并清除過(guò)去在可疑條件下收集的數(shù)據(jù)?！?/p>

雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))了解到，微軟就其購(gòu)買Jumpshot產(chǎn)品的具體原因拒絕置評(píng)，并表示目前與該公司沒(méi)有任何關(guān)系。

家得寶發(fā)言人在電子郵件聲明中表示，“我們有時(shí)會(huì)利用第三方供應(yīng)商的信息來(lái)幫助改進(jìn)我們的業(yè)務(wù)、產(chǎn)品和服務(wù)。我們要求這些供應(yīng)商擁有與我們共享此信息的適當(dāng)權(quán)利。在這種情況下，我們會(huì)收到匿名的受眾數(shù)據(jù)，這些數(shù)據(jù)無(wú)法用于識(shí)別個(gè)人客戶。”

西南航空表示，公司與Jumpshot進(jìn)行了討論，但沒(méi)有與該公司達(dá)成協(xié)議。IBM表示，它沒(méi)有做客戶的記錄。

在其網(wǎng)站和新聞稿中，Jumpshot將百事可樂(lè)、咨詢巨頭貝恩公司（Bain&Company）和麥肯錫（McKinsey）列為客戶。除了Expedia、Intuit和Loreal，其他尚未在公開(kāi)宣傳中提及的公司還包括咖啡公司Keurig、YouTube推廣服務(wù)vidIQ和消費(fèi)者洞察公司Hitwise。這些公司都沒(méi)有回應(yīng)外媒的置評(píng)請(qǐng)求。