Nettstedene Motherboard og PCMag har i samarbeid avslørt at selskapet Avast, som står bak antivirusprogrammene Avast og AVG, som brukes av flere hundre millioner personer verden rundt, selger sensitive brukerdata til tredjeparter.

Informasjonen har de to nettstedene fått fra dokumenter som stammer fra Jumpshot, et underselskap av Avast. Dokumentene avslører at Avast-programvaren samler inn data på PC-en, som Jumpshot pakker om til ulike produkter som igjen selges til klienter som Google, Pepsi, Microsoft, Yelp, Home Depot og mange flere, skriver Motherboard i rapporten.

Av pakker som ble solgt, er én av dem en såkalt «All Clicks Feed», som sporer brukeradferd, klikk og bevegelser på tvers av nettsider. Enkelte klienter skal ha betalt flere millioner dollar for dette.

Dataene de to magasinene har fått innsyn i inkluderer Google-søk, adressesøk i karttjenester, besøk på LinkedIn-sider, YouTube-videoer og søk og aktivitet på pornonettsteder.

Motherboard understreker at dataene som er blitt solgt, ikke inneholdt personlig informasjon, som brukernavn. Men ettersom dataene inneholder såpass mye detaljert informasjon, sier eksperter, som nettstedet har vært i kontakt med, at det kan være mulig å avsløre identiteten til brukerne.

– Vi følger GDPR

Avast har ikke besvart nettstedenes spørsmål om hvordan de beskytter brukernes anonymitet, men har sendt ut en uttalelse der de sier følgende:

«Vi sørger for at Jumpshot ikke samler inn personlig identifiserbar informasjon, som inkluderer navn, e-postadresse eller kontaktdetaljer, fra personer som bruker vårt populære, gratis antivirusprogram.

Brukere har alltid hatt mulighet til å velge ikke å dele data med Jumpshot. I juli 2019 startet vi implementeringen av et tydelig melde deg på-alternativ for alle nye nedlastinger av programvaren, og nå bes også nåværende gratisbrukere om å gjøre et valg, en prosess som vil bli fullført i 2020.

Vi har en lang tradisjon med å beskytte brukernes enheter og data mot skadevare, og vi forstår og tar vårt ansvar for å balansere brukernes personvern med den nødvendige bruken av data.»

Selskapet la også til at de følger personvernforordningene i Europa, General Data Protection Regulation (GDPR), og i California, California Consumer Privacy Act (CCPA).

Få har ønsket å kommentere saken

Av selskapene Motherboard har vært i kontakt mer, er det kun et fåtall av dem som har kommentert saken.

Microsoft ønsket ikke å kommentere hvorfor de hadde kjøpt produkter fra Jumpshot, men uttalte at de ikke lenger har et samarbeid med selskapet.

Google er blant selskapene som så langt ikke har besvart Motherboards henvendelse.

Sporet brukerne med nettillegg

Det er også kjent at frem til i fjor høst samlet Avast inn surfehistorikk fra brukere som hadde installert selskapets nettlesertillegg. Sikkerhetsforsker og personen bak AdBlock Plus, Wladimir Palant, publiserte en sak der han avslørte hvordan Avast brukte et nettlesertillegg – som er ment for å advare brukere om mistenkelige nettsider – til å samle inn brukerdata.

Kort tid etter avsløringen valgte Google, Mozilla og Opera å fjerne tillegget fra sine respektive butikker for nettlesertillegg.

Avast sier i en uttalelse til Motherboard og PCMag at de ikke lenger sender de innsamlede nettleserdataene til Jumpshot.