Fra pornosøgninger til Facebook-vaner: Gratis antivirusprogram afsløret i at sælge kunders browserdata

Avast fastholder, at data er blevet gjort anonyme, men det er svært med browserdata, skriver amerikansk medie.

Avast er blevet afsløret i at sælge sine mange millioner kunders data i et format, der med simpel sammenkøring kan afsløre præcis, hvad selskabets kunder gør hvornår, når de browser med Avast installeret.

Det skriver PC Mag.

For eksempel viser den, hvilke sider der besøges, hvad der lægges i kurven på Amazon, eller hvad den dårligt anonymiserede bruger leder efter på pornosider.

Læs også: Avast lover ændringer efter kritik af tvungen dataindsamling i CCleaner

Det er ikke mere end et par måneder siden, en sikkerhedskonsulent påpegede, at Avasts browser-add-on indsamlede lovligt mange data.

Dengang manede Avast til ro.

»De indsamlede data er komplet anonymiserede og kan ikke bruges til at identificere brugeren personligt,« lød det dengang fra Avast til PC Mag.

Kan nemt sammenkøres

Men indsigt i en aftale mellem Avast og en data-broker viser, at der er tale om så fintkornede data, at man med simple sammenkøringer nemt kan identificere brugeren.

Det skyldes især, at alle datalinjer knyttes til et 'Device ID'.

For eksempel kan man se, hvad brugeren har set på Amazon, hvad der er blevet lagt i kurven, og præcis hvornår det er sket – på millisekund-niveau.

Hvis Amazon køber de data, er det en smal sag at sammenkøre de 'anonymiserede' data med Amazons egne data og identificere kunden.

Hvis kunden har lavet andre ting med Avast installeret, kan Amazon ligeledes kæde dem sammen med brugeren.

Bruddet på anonymiteten rækker dermed meget videre end blot til Amazons egne sites og produkter.

PC Mag har faktisk set nogle dataudtræk, hvor Avastbrugere leder efter porno. Med mindreårige.

Derudover er der data om, hvad folk ser på Youtube, Facebook og Instagram – intet slipper igennem.

Umuligt at anonymisere

Hele sagen udstiller ifølge Wladimir Palant, der som sikkerhedskonsulent pegede på problemet i første omgang, hvor svært det er helt at anonymisere denne form for præcise data.

»Jeg kan ikke forestille mig nogen som helst algoritme, der kan fjerne nok data til at anonymisere uden at ødelægge datasættets værdi. Der er simpelthen for mange websites derude, der alle sammen indsamler forskellige ting,« siger Wladimir Palant.

Derfor vil man altid kunne sammenkøre og dermed identificere forbrugerne.

Det bliver dog betydeligt sværere, hvis man ikke giver et Device ID til de enkelte datalinjer – men det sænker værdien af datasættene markant.

Avast har tidligere været i modvind, fordi et andet af selskabets programmer, CCleaner, også indsamlede mange brugerdata, uden at det kunne slås fra.

Det har selskabet siden lovet at ændre.