De Amerikaanse Federal Trade Commission (FTC) heeft antivirusleverancier Avast een boete van $16,5 miljoen opgelegd vanwege de beschuldigingen dat het bedrijf de browsegegevens van gebruikers aan adverteerders had verkocht nadat het beweerde dat zijn producten online tracking zouden blokkeren.
Bovendien is het bedrijf verboden om webbrowsergegevens voor reclamedoeleinden te verkopen of in licentie te geven. Het zal ook gebruikers op de hoogte moeten stellen van wie de browsegegevens zonder hun toestemming aan derden zijn verkocht.
De FTC zei in haar klacht dat Avast “op oneerlijke wijze de surfinformatie van consumenten verzamelde via de browserextensies en antivirussoftware van het bedrijf, deze voor onbepaalde tijd opsloeg en verkocht zonder voorafgaande kennisgeving en zonder toestemming van de consument.”
Het bedrijf beschuldigde het Britse bedrijf er ook van gebruikers te misleiden door te beweren dat de software tracking van derden zou blokkeren en de privacy van gebruikers zou beschermen, maar verzuimde hen te informeren dat het hun “gedetailleerde, heridentificeerbare browsegegevens” aan meer dan 300 mensen zou verkopen. 100 derde partijen via haar dochteronderneming Jumpshot.
Bovendien kunnen gegevenskopers niet-persoonlijk identificeerbare informatie koppelen aan de browsegegevens van Avast-gebruikers, waardoor andere bedrijven gebruikers en hun browsegeschiedenis kunnen volgen en koppelen aan andere informatie die ze al hadden.
De misleidende praktijk voor gegevensprivacy kwam in januari 2020 aan het licht na een gezamenlijk onderzoek door Motherboard en PCMag, waarbij Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast en Intuit werden genoemd als enkele van Jumpshot’s “verleden, heden en potentiële klanten.”
Een maand eerder verwijderden webbrowsers Google Chrome, Mozilla Firefox en Opera de browser-add-ons van Avast uit hun respectievelijke winkels, waarbij eerder onderzoek van beveiligingsonderzoeker Wladimir Palant in oktober 2019 deze extensies als spyware beschouwde.
De gegevens, waaronder de Google-zoekopdrachten van een gebruiker, het opzoeken van locaties en de internetvoetafdruk, werden verzameld via het antivirusprogramma Avast dat op de computer van een persoon was geïnstalleerd zonder dat er om hun geïnformeerde toestemming werd gevraagd.
“Browsegegevens [sold by Jumpshot] bevatte informatie over de zoekopdrachten van gebruikers op het internet en de webpagina’s die ze bezochten – waardoor de religieuze overtuigingen van consumenten, gezondheidsproblemen, politieke voorkeuren, locatie, financiële status, bezoeken aan op kinderen gerichte inhoud en andere gevoelige informatie werden onthuld”, beweerde de FTC.
Jumpshot omschreef zichzelf als het “enige bedrijf dat gegevens over ommuurde tuinen ontgrendelt” en beweerde in augustus 2018 over gegevens te beschikken van maar liefst 100 miljoen apparaten. De browse-informatie zou minstens sinds 2014 zijn verzameld.
De privacyreactie was voor Avast aanleiding om “de gegevensverzameling van Jumpshot te beëindigen en de activiteiten van Jumpshot met onmiddellijke ingang af te bouwen.”
Avast is sindsdien gefuseerd met een ander cyberbeveiligingsbedrijf NortonLifeLock om een nieuw moederbedrijf te vormen genaamd Gen Digital, dat ook andere producten omvat zoals AVG, Avira en CCleaner.
“Avast beloofde gebruikers dat zijn producten de privacy van hun browsegegevens zouden beschermen, maar leverde het tegenovergestelde”, zegt Samuel Levine, directeur van het Bureau of Consumer Protection van de FTC. “De surveillancetactieken van Avast brachten de privacy van consumenten in gevaar en overtreden de wet.”
