30.01.2020, 18:28 Uhr Gerade keine Zeit? Hinweis: Wir haben in diesem Artikel Provisions-Links verwendet und sie durch "*" gekennzeichnet. Erfolgt über diese Links eine Bestellung, erhält t3n.de eine Provision.

Eine Tochtergesellschaft von Avast, dem Hersteller einer populären Antiviren-Software, soll in großem Stil Browserdaten der Nutzer eben dieser Antiviren-Software verkaufen.

Anzeige

Wie die Vice-Publikation Motherboard in Kooperation mit PCmag herausfinden konnte, verkauft das Unternehmen Jumpshot, Teil der Avast-Firmengruppe, überaus detaillierte Browser-Daten, im Grunde die komplette Browser-Historie der Nutzer seiner kostenlosen Avast-Antivirus-Software. Zu den Käufern der sensiblen Daten gehören laut Vice Größen wie Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit und viele andere.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

Anzeige

Jumpshot verspricht seinen Kunden, jeden Klick zu dokumentieren

Jumpshot wirbt mit dem Slogan „Every search. Every click. Every buy. On every site.“ Die Fettsetzung gehört zum Slogan. In der Übersetzung rühmt sich Jumpshot demnach damit, jede Suche, jeden Klick, jeden Kauf auf jeder Website zu registrieren. Das sind für Unternehmen natürlich wertvolle Daten.

Jumpshot hätte also ein komplettes Bewegungsprofil für jeden Nutzer der Avast-Antivirus-Software zur Hand. Glaubt man den Angaben von Avast, umfasst diese Nutzerbasis eine Summe von 435 Millionen monatlich aktiven Nutzern mit insgesamt rund 100 Millionen Geräten.

Nach den Vice und PCmag vorliegenden Datenstichproben finden sich in den Jumpshot-Kollektionen Google-Suchen, Ortssuchen, GPS-Koordinaten aus Google Maps, besuchte Linkedin-Seiten, angesehene Youtube-Videos, sowie besuchte Porno-Seiten, nebst der dort verwendeten Suchbegriffe und den Videos, die Nutzer auf den Porno-Seiten angeschaut haben.

Die Daten beinhalten keine weiteren personenbezogenen Daten, sind also nach konventioneller Lesart anonym. Allerdings verwendet Avast wohl eine eindeutige Geräte-ID für jede Installation seiner Antiviren-Software, die stabil bleibt und sich nur ändert, wenn der Nutzer die Software komplett deinstalliert und dann erneut installiert – ein eher seltenes Szenario.

Zwar gibt Jumpshot diese ID-Daten nicht an zahlende Kunden heraus, gelöscht werden sie indes offenbar auch nicht. So erscheint es durchaus wahrscheinlich, dass die Kombination der Bewegungsdaten mit der Geräte-ID zu einer Identifizierung der Person hinter der Historie führen könnte.

Die Datensammlung hatte Avast zunächst über diverse Browser-Erweiterungen bewerkstelligt, die während der Installation über ein Plugin eingepflanzt wurden. Dabei sollen auch die Erweiterungen des Schwesterprodukts AVG mitgenutzt worden sein. Nachdem diese Art der Datensammelei vom Adblock-Plus-Entwickler Wladimir Palant im Oktober 2019 öffentlich gemacht worden war, entfernten Mozilla, Opera und Google die entsprechenden Erweiterungen aus ihren jeweiligen Extension-Stores. Zu diesem Zeitpunkt könnte die Datensammlung bereits vier Jahre lang gelaufen sein, wie aus diesem Foren-Beitrag zu interpretieren ist.

Nach der Enthüllung der Aktivitäten und dem daraus resultierenden Store-Ausschluss soll Avast keine weiteren Daten aus etwa noch installierten Erweiterungen an Jumpshot gesendet haben. Stattdessen setzt das Unternehmen nach den Vice-Ermittlungen nun die Antivirus-Software selbst für die Datensammlung ein.

Erst seit etwa einer Woche bittet die Software zumindest manche Nutzer per Pop-up um ihre Zustimmung zur Datenerhebung. Offenbar kommen die so kontaktierten Nutzer gar nicht auf die Idee, die Zustimmung könne zum Verkauf ihrer Daten an Dritte führen. Zumindest erfuhr Vice das auf Nachfrage von Nutzern, die bereits mit dem Pop-up interagiert hatten.

Anzeige

Es bleibt abzuwarten, welche Konsequenzen sich nun für Avast ergeben. Im Grunde kann eine Datensammlung ohne Nutzereinwilligung nur dazu führen, dass die so erhobenen Daten nicht länger benutzt, mithin gelöscht werden müssten. Hinsichtlich der mit Einwilligung erhobenen Daten müsste genau geschaut werden, ob die der Einwilligung zugrundeliegende Information transparent und verständlich klar macht, wozu Nutzer hier eigentlich ihre Einwilligung erteilen. Das scheint nach den Vice-Erkenntnissen zumindest fraglich.

Passend dazu: Bericht: Marketing-Firma sammelte öffentliche Instagram-Daten im großen Stil