Fra pornosøgninger til Facebook-vaner: Gratis antivirusprogram afsløret i at sælge kunders browserdata

Avasts reklameafdeling Jumpshot, der sælger de indsamlede data, praler med, at selskabet har data om 100 millioner forbrugere. Illustration: Jumpshot
Avast fastholder, at data er blevet gjort anonyme, men det er svært med browserdata, skriver amerikansk medie.

Avast er blevet afsløret i at sælge sine mange millioner kunders data i et format, der med simpel sammenkøring kan afsløre præcis, hvad selskabets kunder gør hvornår, når de browser med Avast installeret.

Det skriver PC Mag.

For eksempel viser den, hvilke sider der besøges, hvad der lægges i kurven på Amazon, eller hvad den dårligt anonymiserede bruger leder efter på pornosider.

Læs også: Avast lover ændringer efter kritik af tvungen dataindsamling i CCleaner

Det er ikke mere end et par måneder siden, en sikkerhedskonsulent påpegede, at Avasts browser-add-on indsamlede lovligt mange data.

Dengang manede Avast til ro.

»De indsamlede data er komplet anonymiserede og kan ikke bruges til at identificere brugeren personligt,« lød det dengang fra Avast til PC Mag.

Kan nemt sammenkøres

Men indsigt i en aftale mellem Avast og en data-broker viser, at der er tale om så fintkornede data, at man med simple sammenkøringer nemt kan identificere brugeren.

Det skyldes især, at alle datalinjer knyttes til et 'Device ID'.

For eksempel kan man se, hvad brugeren har set på Amazon, hvad der er blevet lagt i kurven, og præcis hvornår det er sket – på millisekund-niveau.

Hvis Amazon køber de data, er det en smal sag at sammenkøre de 'anonymiserede' data med Amazons egne data og identificere kunden.

Hvis kunden har lavet andre ting med Avast installeret, kan Amazon ligeledes kæde dem sammen med brugeren.

Bruddet på anonymiteten rækker dermed meget videre end blot til Amazons egne sites og produkter.

PC Mag har faktisk set nogle dataudtræk, hvor Avastbrugere leder efter porno. Med mindreårige.

Derudover er der data om, hvad folk ser på Youtube, Facebook og Instagram – intet slipper igennem.

Umuligt at anonymisere

Hele sagen udstiller ifølge Wladimir Palant, der som sikkerhedskonsulent pegede på problemet i første omgang, hvor svært det er helt at anonymisere denne form for præcise data.

»Jeg kan ikke forestille mig nogen som helst algoritme, der kan fjerne nok data til at anonymisere uden at ødelægge datasættets værdi. Der er simpelthen for mange websites derude, der alle sammen indsamler forskellige ting,« siger Wladimir Palant.

Derfor vil man altid kunne sammenkøre og dermed identificere forbrugerne.

Det bliver dog betydeligt sværere, hvis man ikke giver et Device ID til de enkelte datalinjer – men det sænker værdien af datasættene markant.

Avast har tidligere været i modvind, fordi et andet af selskabets programmer, CCleaner, også indsamlede mange brugerdata, uden at det kunne slås fra.

Det har selskabet siden lovet at ændre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#5 Lars Christensen-b

Ved ikke om jeg misforstå dig Elias Holm. Men der står Avast, ikke Avira.

Avira oplyser de ikke sælger dine data til tredjeparter (https://www.avira.com/en/general-privacy). Men de anvender dog i nogle services, analyseprogrammer fra de store techfirmaer (Adobe, Amazon, Google, Facebook)til at se brugen af deres produkter. Man kan blokere disse til en hvis grad, og informationerne burde være sikre, men ja..

  • 2
  • 0
#6 Bo AA

Gad vide om det er lovligt ifht. GDPR, eller om de har fået nogle dyre advokater til at skrive sig ud af det i nogle betingelser. Om ikke andet synes jeg at det burde være ulovligt.

  • 1
  • 0
#10 Simon Rønneberg

Hvor mange FOSS antivirus produkter er der på markedet?

https://lmgtfy.com/?q=FOSS+antivirus

Eller for at være en anelse mindre flabet: Overraskende mange, faktisk. Så kan vi diskutere om deres virus definitioner altid er lige så up-to-date som betalte løsningers, og dér bliver jeg svar skyldig. Men i værste fald betaler jeg hellere med penge end med tracking-data.

  • 0
  • 0
Log ind eller Opret konto for at kommentere