「殺毒霸主」Avast被曝挖掘4.35億用戶數據賣給谷歌和微軟

曾今的Avast，作為全球知名的殺毒軟體，可以說是歐洲的驕傲。

其不僅擁有出色的殺毒能力，還免費對用戶開放，憑藉比較低的硬體佔用空間和在此之上的付費擴展服務贏得廣大用戶的一眾好感。然而，現在的Avast已經越來越多地淪落為一家賴皮的流氓軟體廠商。

Avast執行長Ondrej Vlcek

據了解，數月前微軟曾清理過一次系統清理軟體CCleaner，其本身不僅清理功能薄弱，安全也存在問題，而且還內置捆綁了Avast殺毒軟體。而CCleaner的母公司正是2017年就被Avast收購的Piriform，此後CCleaner的質量服務和安全性能一直下降，Avast還悄悄地捆綁了自己的軟體。

不僅如此，Avast被曝旗下的多款瀏覽器插件都有嚴重侵犯用戶隱私的嫌疑，比如這些插件會在用戶使用時詳細記錄其操作的蹤跡，用戶曾打開了哪些網頁和在網頁上停留了幾秒鐘等。

近日，根據外媒Vice和PCMag的聯合調查發現，讓人更為惱怒的是，Avast的Mac和Windows版殺毒軟體一直被用於暗中挖掘用戶數據，然後再把敏感信息出售給包括谷歌、微軟和財務軟體開發商Intuit等在內的第三方。

雷鋒網了解到，Avast提供免費和付費的這些殺毒和安全工具，每月大約有超過4.35億活躍用戶在Macs、個人電腦和行動裝置上使用Avast的產品，保護他們的數據免受傷害。同時，Avast的軟體提供了選擇加入的選項，允許公司收集某些類型的用戶數據，然後通過附屬公司Jumpshot進行銷售。

「能賺錢」的數據

這些銷售出的數據，對於Avast而言是一筆豐厚的收入。

在與Jumpshot客戶的合同副本中，一家營銷公司在2019年為數據訪問支付了200多萬美元，這些數據包括基於瀏覽行為推斷的用戶性別、年齡、刪除個人身份信息的「整個網址字符串」，以及其他細節。

雖然設備標識被「散列」以防止客戶端識別個人，但由於設備標識不會因為用戶而改變，除非他們完全重新安裝Avast工具，這可能允許隨著時間的推移在一個用戶上建立大量數據，從而導致可能的在線識別。

Avast表示，「由於我們的方法，可以確保Jumpshot不會從使用流行的免費殺毒軟體的用戶那裡獲取個人身份信息，包括姓名、電子郵件地址或聯繫方式等。」

該公司在聲明中繼續重申，用戶有能力選擇不共享數據，並且從2019年7月起，該公司已開始對殺毒軟體的所有新下載實施明確的選擇加入，所有現有的免費用戶都將在2020年2月前做出選擇。在其全球用戶群中，Avast符合美國加州消費者隱私法案和歐洲《通用數據保護條例》。該公司在聲明中稱：

我們在保護用戶設備和數據免受惡意軟體攻擊方面有著悠久的歷史，我們理解並認真對待平衡用戶隱私和必要的數據使用的責任。

從Avast到Jumpshot

據外媒披露，安裝在個人電腦上的Avast防病毒程序收集數據後，Jumpshot將其重新打包，然後賣給谷歌、美版「大眾點評網」Yelp、微軟、麥肯錫、百事可樂、絲芙蘭、家得寶、康德納斯、Intuit和許多其他公司。

客戶瀏覽數據的供應鏈

一些客戶花了數百萬美元購買的服務，它可以非常精確地跟蹤用戶的行為、點擊和跨網站的操作。Avast聲稱，每月有超過4.35億的活躍用戶，而Jumpshot宣稱有1億臺設備的數據。Avast從選擇加入的用戶那裡收集數據，然後提供給Jumpshot，但多個Avast用戶告訴Vice，他們並不知道Avast出售了瀏覽數據。

據Vice和PCMag獲得的信息，這些數據包括谷歌搜索、谷歌地圖上位置和GPS坐標的查找、訪問公司LinkedIn頁面的人、特別是YouTube視頻以及訪問色情網站的人。可以從收集的數據中確定匿名用戶訪問YouPorn and PornHub的日期和時間，在某些情況下還可以確定他們在色情網站中輸入了什麼搜索詞以及觀看了哪些特定視頻。

儘管這些數據不包括用戶姓名等個人信息，但仍包含大量特定的瀏覽數據，專家表示可能會取消某些用戶的姓名。

Jumpshot在7月發布的一份新聞稿中稱，他們致力於讓營銷人員對在線用戶的行為有更深入的了解。Jumpshot此前曾公開討論過其部分客戶，有提到包括Expedia、IBM、Intuit，後者生產TurboTax、Loreal和HomeDepot，公司要求員工不要公開談論Jumpshot與這些公司的關係。

聯合調查結果顯示，直到最近收集數據都是通過Avast的瀏覽器插件進行的，該插件向用戶提供關於可疑和惡意網站的警告。安全研究人員和AdBlock Plus創建者弗拉基米爾·帕朗特（Wladimir Palant）在去年10月的一份報告中披露，該插件曾在10月份被用來獲取數據，這促使Mozilla、Opera和谷歌取消了對Avast擴展的訪問。

針對這一調查，Avast在聲明中表示，該公司已停止向Jumpshot提供擴展收集的瀏覽數據。但是調查進一步從來源和洩露的文件中發現，Avast仍在進行數據收集，但通過殺毒軟體本身，而不是瀏覽器插件。上周，一份內部文件顯示Avast已開始要求免費殺毒工具的用戶再次選擇加入數據收集。

「如果他們選擇加入，該設備將成為Jumpshot面板的一部分，所有基於瀏覽器的網際網路活動都將報告給Jumpshot，」來自內部手冊的一行文字建議。根據該文件，所收集的數據將回答用戶訪問了哪些網址，以及何時和以何種順序訪問的問題。

Why?

去年12月，參議員Ron Wyden曾提問Avast為什麼要出售用戶的瀏覽數據，他在一份聲明中表示：

「令人鼓舞的是，Avast在與我進行了建設性的接觸後，結束了一些最麻煩的做法。不過，我擔心的是，Avast尚未承諾刪除未經用戶選擇加入同意而收集和共享的用戶數據，或終止銷售敏感的網際網路瀏覽數據。唯一負責任的做法是對未來的客戶完全透明，並清除過去在可疑條件下收集的數據。」

雷鋒網了解到，微軟就其購買Jumpshot產品的具體原因拒絕置評，並表示目前與該公司沒有任何關係。

家得寶發言人在電子郵件聲明中表示，「我們有時會利用第三方供應商的信息來幫助改進我們的業務、產品和服務。我們要求這些供應商擁有與我們共享此信息的適當權利。在這種情況下，我們會收到匿名的受眾數據，這些數據無法用於識別個人客戶。」

西南航空表示，公司與Jumpshot進行了討論，但沒有與該公司達成協議。IBM表示，它沒有做客戶的記錄。

在其網站和新聞稿中，Jumpshot將百事可樂、諮詢巨頭貝恩公司（Bain&Company）和麥肯錫（McKinsey）列為客戶。除了Expedia、Intuit和Loreal，其他尚未在公開宣傳中提及的公司還包括咖啡公司Keurig、YouTube推廣服務vidIQ和消費者洞察公司Hitwise。這些公司都沒有回應外媒的置評請求。雷鋒網