Ang Avast ay nasa mainit na tubig: Nagbebenta ang subsidiary ng data sa pag-browse
- Kategorya: Seguridad
Ang nakaraang ilang buwan ay hindi naging mabuti para sa Avast. Ang kumpanya ay humarap sa isang alon ng pintas mula pa noon ilan sa mga kasanayan sa negosyo nito dumating sa ilaw. Sinipa ito ni Wladimir Palant nang may detalyadong pagsusuri sa mga extension ng browser ng Avast.
Natuklasan niya na ang mga extension ay nagpadala ng impormasyon sa pag-browse sa kasaysayan sa Avast na lumampas sa data na kinakailangan upang maibigay ang seguridad na ipinangako ng produkto. Kabilang sa data ay ang buong URL ng anumang pahina na binisita, pamagat ng pahina, referer (site na nanggaling ang gumagamit), pati na rin ang bawat link sa mga pahina ng resulta ng paghahanap.
Napagpasyahan ni Palant noon na ang labis na pagkolekta ng data ay hindi isang pangangasiwa ngunit sinadya. Inalis ng Mozilla at Google ang mga extension ng Avast at AVG mula sa kani-kanilang mga web store bilang kinahinatnan. Ang Avast ay na-update ang mga extension nito at magagamit na sila muli.
Ang isang magkasanib na pagsisiyasat ni Si Vice at PC Magazine tumingin mas malalim sa mga kasanayan sa negosyo ng Avast na nakapalibot sa nakolekta na data ng gumagamit. Ayon sa impormasyon, ang subsidiary ng Avast na Jumpshot ay nakakakuha ng data mula sa pag-install ng Avast antivirus sa mga aparato ng gumagamit, pinoproseso ito upang ibenta ang naproseso na data sa mga kumpanya.
Ang isang produkto, na tinawag na All Clicks Feed, ay magbibigay ng mga kumpanya, mga customer kabilang ang mga malalaking korporasyon tulad ng Google, Microsoft, Pepsi, Home Depot, o McKinsey, na may impormasyon tungkol sa pag-uugali, pag-click, at aktibidad sa buong website na binisita.
Ang data ay hindi nagpapakilala ayon sa Avast na nangangahulugang ang personal na makikilalang impormasyon tulad ng IP address ng isang gumagamit o email address ay tinanggal mula sa data bago ito ibenta.
Habang maganda ang hitsura sa papel, umiiral ang mga pamamaraan upang de-anonymize ang data. Ang isang data package ay maaaring magsama ng isang aparato ID na nangangahulugang madali itong hanapin ang kasaysayan ng pagba-browse ng isang partikular na aparato. Kasama dito ang petsa at oras, at impormasyon tungkol sa binisita na site.
Ang isang pagpipilian na ang mga kumpanya na bumili ng data ay ang paggamit ng iba pang mga mapagkukunan ng data upang makilala ang mga indibidwal na gumagamit. Isipin ang Google o Amazon gamit ang impormasyon sa petsa, oras at URL upang mag-cross-check kasama ang aktibidad ng gumagamit sa kanilang mga site.
Kung ang buong URL ay ibinibigay sa isang pakete ng data, madali ring makilala ang mga gumagamit depende sa aktibidad. Ang mga pagbisita sa isang personal na homepage, ang tugon ng Twitter, pag-upload sa YouTube, o anumang iba pang aktibidad na maaaring maiugnay sa mga account ay magbibigay ng mga third-party ng impormasyon sa aktwal na gumagamit.
Ayon sa mga ulat ng PC Magazine at Vice, tumigil si Avast gamit ang data para sa 'anumang iba pang layunin kaysa sa pangunahing security engine'. Ang tala ng PC Magazine na ang dibisyon ng Jumpshot ng Avast ay maaari pa ring makakuha ng data sa pamamagitan ng pangunahing mga aplikasyon ng antivirus Avast (kasama ang mga sa pamamagitan ng AVG). Ang parehong mga solusyon sa antivirus ay may kasamang bahagi ng Web Shield na idinisenyo upang suriin ang mga binisita na mga URL upang matiyak na hindi sila panganib sa seguridad (hal. Phishing site).