Avast er blevet afsløret i at sælge sine mange millioner kunders data i et format, der med simpel sammenkøring kan afsløre præcis, hvad selskabets kunder gør hvornår, når de browser med Avast installeret.
Det skriver PC Mag.
For eksempel viser den, hvilke sider der besøges, hvad der lægges i kurven på Amazon, eller hvad den dårligt anonymiserede bruger leder efter på pornosider.
Det er ikke mere end et par måneder siden, en sikkerhedskonsulent påpegede, at Avasts browser-add-on indsamlede lovligt mange data.
Dengang manede Avast til ro.
»De indsamlede data er komplet anonymiserede og kan ikke bruges til at identificere brugeren personligt,« lød det dengang fra Avast til PC Mag.
Kan nemt sammenkøres
Men indsigt i en aftale mellem Avast og en data-broker viser, at der er tale om så fintkornede data, at man med simple sammenkøringer nemt kan identificere brugeren.
Det skyldes især, at alle datalinjer knyttes til et 'Device ID'.
For eksempel kan man se, hvad brugeren har set på Amazon, hvad der er blevet lagt i kurven, og præcis hvornår det er sket – på millisekund-niveau.
Hvis Amazon køber de data, er det en smal sag at sammenkøre de 'anonymiserede' data med Amazons egne data og identificere kunden.
Hvis kunden har lavet andre ting med Avast installeret, kan Amazon ligeledes kæde dem sammen med brugeren.
Bruddet på anonymiteten rækker dermed meget videre end blot til Amazons egne sites og produkter.
PC Mag har faktisk set nogle dataudtræk, hvor Avastbrugere leder efter porno. Med mindreårige.
Derudover er der data om, hvad folk ser på Youtube, Facebook og Instagram – intet slipper igennem.
Umuligt at anonymisere
Hele sagen udstiller ifølge Wladimir Palant, der som sikkerhedskonsulent pegede på problemet i første omgang, hvor svært det er helt at anonymisere denne form for præcise data.
»Jeg kan ikke forestille mig nogen som helst algoritme, der kan fjerne nok data til at anonymisere uden at ødelægge datasættets værdi. Der er simpelthen for mange websites derude, der alle sammen indsamler forskellige ting,« siger Wladimir Palant.
Derfor vil man altid kunne sammenkøre og dermed identificere forbrugerne.
Det bliver dog betydeligt sværere, hvis man ikke giver et Device ID til de enkelte datalinjer – men det sænker værdien af datasættene markant.
Avast har tidligere været i modvind, fordi et andet af selskabets programmer, CCleaner, også indsamlede mange brugerdata, uden at det kunne slås fra.
Det har selskabet siden lovet at ændre.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
