殺毒軟體Avast被曝挖掘4.35億用戶數據 轉手賣給谷歌和微軟

騰訊科技訊 據外媒報導，根據互聯網媒體公司Vice和科技媒體PCMag的聯合調查，知名殺毒軟體開發商Avast的Mac和Windows版殺毒軟體一直被用於暗中挖掘用戶數據，然後再把敏感信息出售給包括谷歌、微軟和財務軟體開發商Intuit在內的第三方。

Avast提供免費和付費的殺毒和安全工具。這些工具很受歡迎，每月有超過4.35億活躍用戶在Macs、個人電腦和移動設備上使用Avast的產品，保護他們的數據免受傷害。但是調查結果卻顯示，作為其產品的一部分，Avast的軟體提供了選擇加入的選項，允許公司收集某些類型的用戶數據，然後通過附屬公司Jumpshot進行銷售。Vice和PCMag利用洩露的用戶數據、合約和其他文件進行的調查，揭示了這些數據的銷售的程度以及廣度。

調查中獲得的數據顯示，Avast收集的信息範圍廣泛，包括谷歌搜索、谷歌地圖的位置查詢和全球定位系統坐標、LinkedIn頁面和YouTube視頻列表。更令人不安的是，數據還包括了用戶匿名訪問色情網站的日期和時間，以及某些情況下的搜索詞和觀看視頻。儘管Avast努力匿名化這些數據，但專家們聲稱高度特定的瀏覽數據可以用來鑒別身份。

Avast收集的數據量可能沒有很好地告知Avast的用戶。接受Vice和PCMag調查的絕大多數用戶均表示，他們並不知道自己的瀏覽數據會被Avast銷售給第三方。

Jumpshot聲稱，它擁有1億台設備的數據。該公司將從Avast收集的數據重新打包成多個不同的包。這其中還包括所謂的“所有點擊源”選項，在該選項中，客戶支付數百萬美元能夠跟蹤用戶的行為和跨網站的動向。Jumpshot的客戶名單中包括了谷歌、微軟、Intuit、美版“大眾點評網”Yelp、以及百事可樂等。

聯合調查結果顯示，直到最近收集數據都是通過Avast的瀏覽器插件進行的，該插件向用戶提供關於可疑和惡意網站的警告。安全研究人員和AdBlock Plus創建者弗拉基米爾·帕朗特（Wladimir Palant）在去年10月的一份報告中披露，該插件曾在10月份被用來獲取數據，這促使Mozilla、Opera和谷歌取消了對Avast擴展的訪問。

針對這一調查，Avast在聲明中表示，該公司已停止向Jumpshot提供擴展收集的瀏覽數據。但是調查進一步從來源和洩露的文件中發現，Avast仍在進行數據收集，但通過殺毒軟體本身，而不是瀏覽器插件。上周，一份內部文件顯示Avast已開始要求免費殺毒工具的用戶再次選擇加入數據收集。

“如果他們選擇加入，該設備將成為Jumpshot面板的一部分，所有基於瀏覽器的互聯網活動都將報告給Jumpshot，”來自內部手冊的一行文字建議。根據該文件，所收集的數據將回答用戶訪問了哪些網址，以及何時和以何種順序訪問的問題。

賺錢的數據

這些數據對Avast而言是一筆豐厚的收入。在與Jumpshot客戶的合約副本中，一家行銷公司在2019年為數據訪問支付了200多萬美元，該公司為來自全球14個國家的20個域名提供了“Feed洞察”。

這些數據包括基於瀏覽行為推斷的用戶性別、年齡、刪除個人身份信息的“整個網址字元串”，以及其他細節。雖然設備標識被“散列”以防止客戶端識別個人，但由於設備標識不會因為用戶而改變，除非他們完全重新安裝Avast工具，這可能允許隨著時間的推移在一個用戶上建立大量數據，從而導致可能的在線識別。

Avast對此表示，“由於我們的方法，我們確保Jumpshot不會從使用流行的免費殺毒軟體的用戶那裡獲取個人身份信息，包括姓名、電子郵件地址或聯繫方式。”該公司在聲明中繼續重申，用戶有能力選擇不共享數據，並且從2019年7月起，該公司已開始“對殺毒軟體的所有新下載實施明確的選擇加入，”所有現有的免費用戶都將在2020年2月前做出選擇。

該公司還堅稱，在其全球用戶群中，Avast符合美國加州消費者隱私法案和歐洲《通用數據保護條例》。該公司在聲明中稱：“我們在保護用戶設備和數據免受惡意軟體攻擊方面有著悠久的歷史，我們理解並認真對待平衡用戶隱私和必要的數據使用的責任。”（騰訊科技編譯/明軒）