曾今,Avast 作為全球知名的殺毒軟件,可以說是歐洲的驕傲,不僅擁有出色的殺毒能力,還免費開放,憑藉較低的硬體佔用空間和更好的付費擴展服務贏得廣大用戶好感。然而,現在的 Avast 已經淪落為一家賴皮的流氓軟件廠商。
據了解,數月前微軟曾清理過一次系統清理軟體 CCleaner,其本身清理功能薄弱,安全防護也存在問題,而且還內置捆綁了 Avast 殺毒軟件。而 CCleaner 的母公司正是 2017 年就被 Avast 收購的 Piriform,此後 CCleaner 的品質和安全性能一直下降,Avast 還悄悄地捆綁了自己的軟體。 不僅如此,Avast 被曝旗下多款瀏覽器擴充工具都有嚴重侵犯用戶隱私的嫌疑,比如這些工具會在用戶使用時詳細記錄其操作蹤跡、用戶曾打開了哪些網頁、在網頁上停留了幾秒鐘等。
近日,根據外媒 Vice 和 PCMag 的聯合調查發現讓人更為惱怒的事,Avast 的 Mac 和 Windows 版殺毒軟體一直被用於暗中挖掘用戶數據,然後再把敏感訊息出售給包括 Google、微軟和財務軟件開發商Intuit 等在內的第三方。
Avast 提供免費和付費的殺毒工具,每月大約有超過 4.35 億活躍用戶在 Macs、個人電腦和移動設備上使用 Avast 的產品,保護他們的數據免受傷害。同時,Avast 的軟體提供了選擇加入的選項,允許公司收集某些類型的用戶數據,然後通過附屬公司 Jumpshot 進行銷售。
能賺錢的數據這些銷售出的數據,對 Avast 而言是一筆豐厚的收入。
在與 Jumpshot 客戶的合同副本中,一家營銷公司在 2019 年為數據訪問支付了 200 多萬美元,這些數據包括基於瀏覽行為推斷的用戶性別、年齡、刪除個人身份訊息的「整個網址字符串」,以及其他細節。
雖然設備標識被「散列」以防止客戶端識別個人,但由於設備標識不會因為用戶而改變,除非他們完全重新安裝 Avast 工具,這可能允許隨著時間推移在一個用戶上建立大量數據,從而導致「在線識別」。
從 Avast 到 Jumpshot據外媒披露,安裝在個人電腦上的 Avast 防病毒程序收集數據後,Jumpshot 將其重新打包,然後賣給谷歌、美版大眾點評網 Yelp、微軟、麥肯錫、百事可樂、絲芙蘭、家得寶、康德納斯、Intuit 和許多其他公司。
一些客戶花了數百萬美元購買數據,它可以非常精確地追蹤用戶行為、點擊和跨網站操作,Avast 聲稱,每月有超過 4.35 億的活躍用戶,而 Jumpshot 宣稱有 1 億台設備的數據。Avast 從選擇加入的用戶那裡收集數據,然後提供給 Jumpshot,但多個 Avast 用戶告訴 Vice,他們並不知道 Avast 出售了瀏覽數據。
據 Vice 和 PCMag 獲得的訊息,這些數據包括谷歌搜索、谷歌地圖上位置和 GPS 坐標的查找、訪問公司 LinkedIn 頁面的人、特別是 YouTube 影片以及訪問色情網站的人。可以從收集的數據中確定匿名用戶訪問 YouPorn 和 PornHub 的日期時間,在某些情況下還可以確定他們在色情網站中輸入了什麼搜索詞,以及觀看了哪些特定影片。 
(Source:Flickr/download.net.pl CC BY 2.0)
儘管這些數據不包括用戶姓名等個人訊息,但仍包含大量特定瀏覽數據,專家表示可能會取消某些用戶的姓名。
Jumpshot 在 7 月發布的一份新聞稿中稱,他們致力於讓營銷人員對在線用戶的行為有更深入的了解。Jumpshot 此前曾公開討論過其部分客戶,有提到包括 Expedia、IBM、Intuit,後者生產 TurboTax、Loreal 和 HomeDepot,公司要求員工不要公開談論 Jumpshot 與這些公司的關係。
聯合調查結果顯示,直到最近,數據收集都是透過 Avast 向用戶提供可疑和惡意網站警告的外掛程式。安全研究人員和 AdBlock Plus 創建者弗拉基米爾·帕朗特(Wladimir Palant)在去年 10 月的一份報告中披露,該外掛曾在 10 月份被用來獲取數據,這促使 Mozilla、Opera 和谷歌取消了對 Avast 擴展的訪問。
針對這一調查,Avast 在聲明中表示,該公司已停止向 Jumpshot 提供擴展收集的瀏覽數據。但是調查進一步從來源和洩露的文件中發現,Avast 仍在進行數據收集,但通過殺毒軟體本身,而不是瀏覽器外掛。上週,一份內部文件顯示 Avast 已開始要求免費殺毒工具的用戶再次選擇加入數據收集。
Why?去年 12 月,參議員 Ron Wyden 曾提問 Avast 為什麼要出售用戶的瀏覽數據,他在一份聲明中表示:「我擔心的是,Avast 尚未承諾刪除未經用戶選擇加入同意而收集和共享的用戶數據,或終止銷售敏感的互聯網瀏覽數據。唯一負責任的做法是對未來的客戶完全透明化,並清除過去在可疑條件下收集的數據。」
微軟就其購買 Jumpshot 產品的具體原因拒絕置評,並表示目前與該公司沒有任何關係。
家得寶發言人在電子郵件聲明中表示,「我們有時會利用第三方供應商的訊息來幫助改進我們的業務、產品和服務。我們要求這些供應商擁有與我們共享此訊息的適當權利。在這種情況下,我們會收到匿名的受眾數據,這些數據無法用於識別個人客戶。」
西南航空表示,公司與 Jumpshot 進行了討論,但沒有與該公司達成協議。IBM 表示,它沒有做客戶的記錄。
在其網站和新聞稿中,Jumpshot 將百事可樂、諮詢巨頭貝恩公司(Bain&Company)和麥肯錫(McKinsey)列為客戶。除了 Expedia、Intuit 和 Loreal,其他尚未在公開宣傳中提及的公司還包括咖啡公司 Keurig、YouTube 推廣服務 vidIQ 和消費者洞察公司 Hitwise,這些公司都沒有回應外媒的置評請求 | 
