Darmowe antywirusy są dobre, bo są darmowe. Różnice w skuteczności ich działania, w porównaniu do płatnych antywirusów, dla większości użytkowników domowych są pomijalne. Dlatego — co zrozumiałe i sensowne — setki milionów internautów korzysta z darmówek. W naszych artykułach wiele razy powtarzaliśmy, że “jeśli coś jest za darmo, to płacisz za to swoimi danymi“. I jak się okazuje, Avast jest świetnym tego przykładem. I trochę bezczelnym też. Bo producent — w przeciwieństwie do innych darmowych aplikacji — zmuszał użytkowników do wyrażania zgody na sprzedaż danych, zaciemniając przy tym pewne kulisy handlu tymi danymi.

“Każde kliknięcie, każde wyszukanie, każdy zakup. Na każdej stronie”

Tytuł tego akapitu to cytat z tajnych ofert handlowych, jakie firma Jumpshot (spółka zależna Avasta) przedstawiała swoim klientom, a do których dotarli dziennikarze PCMag i Vice.

Jednym z produktów był tzw. “All clicks feed” (strumień wszystkich kliknięć [użytkownika]), który zawierał informacje o dokładnych ruchach użytkownika na stronach, jakie odwiedzał. W próbce danych pozyskanych przez dziennikarzy znajdowały się m.in.:

dokładne zapytania do wyszukiwarki Google

wyszukiwania lokalizacji (koordynatów GPS) na mapach Google

osoby odwiedzające profile firm na LinkedIn

osoby odwiedzające konkretne klipy na YouTube

osoby odwiedzające strony porno

Dane użytkowników są na szczęście zanonimizowane (brak danych osobowych), ale rekordy zawierają informacje o dokładnym czasie odwiedzenia strony i frazy wpisywane w wyszukiwarki na stronach, co w pewnych sytuacjach mogłoby (nawet bez współpracy z serwisem docelowym) posłużyć do deanonimizacji konkretnego użytkownika.

Kto był zainteresowany takimi informacjami? Jumpshot wyznał, że z jego usług korzystały firmy, które na pewno dobrze znacie: Microsoft, Yelp, Sephora, Google, Expedia, IBM, Loreal, McKinsey czy Pepsi. Niektóre z nich za dane płaciły nawet kilka milionów dolarów rocznie!

Uspokójmy jednak przerażonych — większość z tych firm zapewne średnio interesują konkretne osoby. Są raczej zainteresowane trendami. Np. czy w danym miesiącu (lub z miesiąca na miesiąc) zmienia się TOP 1000 najczęściej odwiedzanych stron WWW przez użytkowników Avasta, a jeśli tak, dlaczego? Albo, czy dana reklama (nie odsyłająca do konkretnej strony) spowodowała wzrost zakupów danego produktu na danej platformie (np. Amazonie).

To nie pierwsza szpiegowska wpadka w Avasta

W październiku firma została przyłapana na tym, ze jej dodatki do przeglądarek Chrome i Firefox zbierały informacje na temat odwiedzanych przez użytkownika stron internetowych, za co Google, Mozilla i Opera usunęły rozszerzenie Avasta (i spółki zależnej AVG) ze swoich platform.

Firma poinformowała wtedy, że zaprzestaje zbierania danych z rozszerzeń. Ale najwyraźniej nie zaprzestała zbierania danych z samego antywirusa…

Mam Avasta — co robić, jak żyć?

Chociaż sprzedaż danych użytkowników jakiejś aplikacji zawsze jest dla nich bulwersująca, to popatrzmy chłodno na ofertę Jumpshot, szukając pozytywów. Firma informowała swoich klientów biznesowych, że dysponuje danymi ze 100 miliona urządzeń, a sam Avast twierdzi, że ma 435 milionów aktywnych klientów. To oznacza, że nie wszyscy użytkownicy byli tak samo szpiegowani. Wyłączeni ze szpiegowania byli Ci, którzy się z niego świadomie wypisali w ustawieniach. Zrobiliście to?

Innymi słowy, Avast sprzedwał dane tylko tych użytkowników, którzy wyrazili na to zgodę. Problem w tym, że wielu użytkowników miało wyrazić tę zgodę nieświadomie. Do lipca 2019, wedle dziennikarzy, użytkownicy musieli podczas instalacji wyrazić zgodę na przekazywanie danych firmom trzecim. Widzieli taki, cwany ekran, który wymuszał na nich zgodę na szpiegowanie:

Wszystko brzmi jakby logicznie i przejrzyście i zgodnie z prawem. A jednak, z jakiegoś powodu Avast dopiero niedawno doszedł do wniosku, że taki sposób informowania użytkowników o zbieraniu danych to jednak nie jest przyzwoita sprawa. I zaczął swoim użytkownikom wyświetlać bardziej przejrzyste okno z pytaniem o zgodę na zasysanie danych, tym razem już umożliwiające wypisanie się z programu zbierania danych na etapie instalacji:

Użytkownikom Avasta radzimy wiec wejść w ustawienia opcje i zakładkę “Prywatność”, a następnie upewnić się, że zgodna na przesyłanie danych do zewnętrznych firm jest ODZNACZONA, czyli NIE WYGLĄDA tak jak na poniższym obrazku:

Przeczytaj także: