原標(biāo)題:殺毒軟件Avast被曝挖掘4.35億用戶數(shù)據(jù) 轉(zhuǎn)手賣給谷歌和微軟 來源:騰訊科技
[摘要]調(diào)查中獲得的數(shù)據(jù)顯示,Avast收集的信息范圍廣泛,包括谷歌搜索、谷歌地圖的位置查詢和全球定位系統(tǒng)坐標(biāo)、linkedIn頁面和YouTube視頻列表。
騰訊科技訊 據(jù)外媒報道,根據(jù)互聯(lián)網(wǎng)媒體公司Vice和科技媒體PCMag的聯(lián)合調(diào)查,知名殺毒軟件開發(fā)商Avast的Mac和Windows版殺毒軟件一直被用于暗中挖掘用戶數(shù)據(jù),然后再把敏感信息出售給包括谷歌、微軟和財務(wù)軟件開發(fā)商Intuit在內(nèi)的第三方。
Avast提供免費和付費的殺毒和安全工具。這些工具很受歡迎,每月有超過4.35億活躍用戶在Macs、個人電腦和移動設(shè)備上使用Avast的產(chǎn)品,保護他們的數(shù)據(jù)免受傷害。但是調(diào)查結(jié)果卻顯示,作為其產(chǎn)品的一部分,Avast的軟件提供了選擇加入的選項,允許公司收集某些類型的用戶數(shù)據(jù),然后通過附屬公司Jumpshot進行銷售。Vice和PCMag利用泄露的用戶數(shù)據(jù)、合同和其他文件進行的調(diào)查,揭示了這些數(shù)據(jù)的銷售的程度以及廣度。
調(diào)查中獲得的數(shù)據(jù)顯示,Avast收集的信息范圍廣泛,包括谷歌搜索、谷歌地圖的位置查詢和全球定位系統(tǒng)坐標(biāo)、linkedIn頁面和YouTube視頻列表。更令人不安的是,數(shù)據(jù)還包括了用戶匿名訪問色情網(wǎng)站的日期和時間,以及某些情況下的搜索詞和觀看視頻。盡管Avast努力匿名化這些數(shù)據(jù),但專家們聲稱高度特定的瀏覽數(shù)據(jù)可以用來鑒別身份。
Avast收集的數(shù)據(jù)量可能沒有很好地告知Avast的用戶。接受Vice和PCMag調(diào)查的絕大多數(shù)用戶均表示,他們并不知道自己的瀏覽數(shù)據(jù)會被Avast銷售給第三方。
Jumpshot聲稱,它擁有1億臺設(shè)備的數(shù)據(jù)。該公司將從Avast收集的數(shù)據(jù)重新打包成多個不同的包。這其中還包括所謂的“所有點擊源”選項,在該選項中,客戶支付數(shù)百萬美元能夠跟蹤用戶的行為和跨網(wǎng)站的動向。Jumpshot的客戶名單中包括了谷歌、微軟、Intuit、美版“大眾點評網(wǎng)”Yelp、以及百事可樂等。
聯(lián)合調(diào)查結(jié)果顯示,直到最近收集數(shù)據(jù)都是通過Avast的瀏覽器插件進行的,該插件向用戶提供關(guān)于可疑和惡意網(wǎng)站的警告。安全研究人員和AdBlock Plus創(chuàng)建者弗拉基米爾·帕朗特(Wladimir Palant)在去年10月的一份報告中披露,該插件曾在10月份被用來獲取數(shù)據(jù),這促使Mozilla、Opera和谷歌取消了對Avast擴展的訪問。
針對這一調(diào)查,Avast在聲明中表示,該公司已停止向Jumpshot提供擴展收集的瀏覽數(shù)據(jù)。但是調(diào)查進一步從來源和泄露的文件中發(fā)現(xiàn),Avast仍在進行數(shù)據(jù)收集,但通過殺毒軟件本身,而不是瀏覽器插件。上周,一份內(nèi)部文件顯示Avast已開始要求免費殺毒工具的用戶再次選擇加入數(shù)據(jù)收集。
“如果他們選擇加入,該設(shè)備將成為Jumpshot面板的一部分,所有基于瀏覽器的互聯(lián)網(wǎng)活動都將報告給Jumpshot,”來自內(nèi)部手冊的一行文字建議。根據(jù)該文件,所收集的數(shù)據(jù)將回答用戶訪問了哪些,以及何時和以何種順序訪問的問題。
賺錢的數(shù)據(jù)
這些數(shù)據(jù)對Avast而言是一筆豐厚的收入。在與Jumpshot客戶的合同副本中,一家營銷公司在2019年為數(shù)據(jù)訪問支付了200多萬美元,該公司為來自全球14個國家的20個域名提供了“Feed洞察”。
這些數(shù)據(jù)包括基于瀏覽行為推斷的用戶性別、年齡、刪除個人身份信息的“整個字符串”,以及其他細(xì)節(jié)。雖然設(shè)備標(biāo)識被“散列”以防止客戶端識別個人,但由于設(shè)備標(biāo)識不會因為用戶而改變,除非他們完全重新安裝Avast工具,這可能允許隨著時間的推移在一個用戶上建立大量數(shù)據(jù),從而導(dǎo)致可能的在線識別。
Avast對此表示,“由于我們的方法,我們確保Jumpshot不會從使用流行的免費殺毒軟件的用戶那里獲取個人身份信息,包括姓名、電子郵件地址或聯(lián)系方式。”該公司在聲明中繼續(xù)重申,用戶有能力選擇不共享數(shù)據(jù),并且從2019年7月起,該公司已開始“對殺毒軟件的所有新下載實施明確的選擇加入,”所有現(xiàn)有的免費用戶都將在2020年2月前做出選擇。
該公司還堅稱,在其全球用戶群中,Avast符合美國加州消費者隱私法案和歐洲《通用數(shù)據(jù)保護條例》。該公司在聲明中稱:“我們在保護用戶設(shè)備和數(shù)據(jù)免受惡意軟件攻擊方面有著悠久的歷史,我們理解并認(rèn)真對待平衡用戶隱私和必要的數(shù)據(jù)使用的責(zé)任。”(騰訊科技編譯/明軒)
