Avast verkauft angeblich "hochsensible" Browser-Daten

28. Januar 2020, 10:56
  • security
  • datenschutz
  • privatsphäre
image

Der Antivieren-Software-Anbieter sammelte Berichten zufolge im grossen Stil Daten über das User-Verhalten und verkaufte diese über eine Tochterfirma.

Der Anbieter einer kostenlosen Antiviren-Software Avast verkauft Berichten zufolge "hochsensible" Browser-Daten über eine Tochtergesellschaft namens Jumpshot. Dabei werden die Aktivitäten der User im Web verfolgt und Daten wie Suchanfragen bei Google und Google Maps oder zu Besuchen bestimmter Linkedin-, Youtube- oder Porno-Websites gesammelt. Dies berichten 'PCMag' und die 'Vice'-Publikation 'Motherboard'. Die US-Magazine berufen sich auf "geleakte Kunden-Daten, Verträge und weitere Unternehmensdokumente".
Den Berichten zufolge werden die gesammelten Daten über die Tochter Jumpshot zu Werbezwecken an Dritte verkauft. Auf seiner eigenen Website wirbt Jumpshot damit, Einblicke in die Online-Reisen von Consumern liefern zu können. Dies geschehe indem jede Suche, jeder Klick und jeder Kauf bei mehr als 150 Websites registriert werde, etwa bei Amazon, Google, Netflix oder Walmart.
Wie weiter aus dem Bericht hervorgeht, seien die Avast-User-Daten möglicherweise nicht vollständig anonymisiert. Es sei möglich, die Daten, die an Dritte verkauft werden, wieder mit der Identität einer Person zu verknüpfen.

Bekannte Unternehmen sind mögliche Kunden

Jumpshot listet auf seiner Website bekannte Unternehmen als Kunden auf. Darunter sind Microsoft, IBM, Google, Unilever, Nestle und auch Marketing-Institute wie GfK. Auf Anfrage von 'PCMag' sagte Microsoft, derzeit keine Geschäftsbeziehungen zu Jumpshot zu haben. IBM gab an, nie Kunde von Avast oder Jumpshot gewesen zu sein und Google habe auf die Anfrage nicht geantwortet, so das US-Magazin.
Avast gab zuletzt an über 435 Millionen aktive User pro Monat zu haben. Der AV-Anbieter schreibt in einem Statement, dass Jumpshot keine "persönlichen Indentifizierungsdaten, einschliesslich Namen, E-Mailadresse und Kontaktdaten" erhalte und dass die Benutzer immer die Möglichkeit gehabt hätten, sich gegen eine Nutzung der Daten durch Jumpshot zu entscheiden.
"Ab Juli 2019 hatten wir bereits damit begonnen, ein explizites Opt-in für alle neuen Downloads unseres AV zu implementieren, und wir fordern nun auch unsere bestehenden Gratis-Benutzer auf, eine Opt-in- oder Opt-out-Wahl zu treffen, ein Prozess, der im Februar 2020 abgeschlossen sein wird", fügte die Unternehmenssprecherin gegenüber 'PCMag' an. 
Avast bitte die Nutzer, sich für die Datenerfassung über eine Pop-up-Nachricht in der Antiviren-Software zu entscheiden, schreibt 'Vice'.  Mehrere User hätten gegenüber dem US-Magazin jedoch gesagt, dass sie nicht gewusst hätten, dass ihre Browsing-Daten dann verkauft würden.

Daten werden mit AV-Software selbst gesammelt

Bis vor Kurzem wurden die User-Daten via Browser-Plugins gesammelt. Diese sollten Anwender eigentlich warnen, wenn verdächtige Websites besucht werden. Im Oktober 2019 haben die Browser-Anbieter Mozilla, Opera und Google die Erweiterungen von Avast und der Avast-Tochter AVG entfernt. Der AV-Anbieter Avast gab gegenüber 'PCMag' an, die Sammlung von Benutzerdaten zu Marketingzwecken über die Browser-Erweiterungen von Avast und AVG eingestellt zu haben.
Dies bedeute aber nicht, dass keine User-Daten mehr gesammelt und an Jumpshot geliefert würden. Aus den Dokumenten gehe hervor, dass die Daten nun direkt über die Antivirensoftware gesammelt werden. 

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Exchange Zero Day: Microsoft muss Workaround abändern

Der erste Workaround bietet nur wenig Schutz.

publiziert am 5.10.2022
image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022