Dokumenten-Leak: Avast Antivirus verkauft offenbar Browser-Daten seiner Nutzer
Eine Tochtergesellschaft von Avast, dem Hersteller einer populären Antiviren-Software, soll in großem Stil Browserdaten der Nutzer eben dieser Antiviren-Software verkaufen.
Wie die Vice-Publikation Motherboard in Kooperation mit PCmag herausfinden konnte, verkauft das Unternehmen Jumpstart, Teil der Avast-Firmengruppe, überaus detaillierte Browser-Daten, im Grunde die komplette Browser-Historie der Nutzer seiner kostenlosen Avast-Antivirus-Software. Zu den Käufern der sensiblen Daten gehören laut Vice Größen wie Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit und viele andere.
Jumpstart verspricht seinen Kunden, jeden Klick zu dokumentieren
Jumpstart wirbt mit dem Slogan „Every search. Every click. Every buy. On every site.“ Die Fettsetzung gehört zum Slogan. In der Übersetzung rühmt sich Jumpstart demnach damit, jede Suche, jeden Klick, jeden Kauf auf jeder Website zu registrieren. Das sind für Unternehmen natürlich wertvolle Daten.
Jumpstart hätte also ein komplettes Bewegungsprofil für jeden Nutzer der Avast-Antivirus-Software zur Hand. Glaubt man den Angaben von Avast, umfasst diese Nutzerbasis eine Summe von 435 Millionen monatlich aktiven Nutzern mit insgesamt rund 100 Millionen Geräten.
Das enthalten die Jumpstart-Daten
Nach den Vice und PCmag vorliegenden Datenstichproben finden sich in den Jumpstart-Kollektionen Google-Suchen, Ortssuchen, GPS-Koordinaten aus Google Maps, besuchte Linkedin-Seiten, angesehene Youtube-Videos, sowie besuchte Porno-Seiten, nebst der dort verwendeten Suchbegriffe und den Videos, die Nutzer auf den Porno-Seiten angeschaut haben.
Die Daten beinhalten keine weiteren personenbezogenen Daten, sind also nach konventioneller Lesart anonym. Allerdings verwendet Avast wohl eine eindeutige Geräte-ID für jede Installation seiner Antiviren-Software, die stabil bleibt und sich nur ändert, wenn der Nutzer die Software komplett deinstalliert und dann erneut installiert – ein eher seltenes Szenario.
Zwar gibt Jumpstart diese ID-Daten nicht an zahlende Kunden heraus, gelöscht werden sie indes offenbar auch nicht. So erscheint es durchaus wahrscheinlich, dass die Kombination der Bewegungsdaten mit der Geräte-ID zu einer Identifizierung der Person hinter der Historie führen könnte.
Datensammlung erfolgte jahrelang im Stealth-Mode
Die Datensammlung hatte Avast zunächst über diverse Browser-Erweiterungen bewerkstelligt, die während der Installation über ein Plugin eingepflanzt wurden. Dabei sollen auch die Erweiterungen des Schwetserprodukts AVG mitgenutzt worden sein. Nachdem diese Art der Datensammelei vom Adblock-Plus-Entwickler Wladimir Palant im Oktober 2019 öffentlich gemacht worden war, entfernten Mozilla, Opera und Google die entsprechenden Erweiterungen aus ihren jeweiligen Extension-Stores. Zu diesem Zeitpunkt könnte die Datensammlung bereits vier Jahre lang gelaufen sein, wie aus diesem Foren-Beitrag zu interpretieren ist.
Nach der Enthüllung der Aktivitäten und dem daraus resultierenden Store-Ausschluss soll Avast keine weiteren Daten aus etwa noch installierten Erweiterungen an Jumpstart gesendet haben. Stattdessen setzt das Unternehmen nach den Vice-Ermittlungen nun die Antivirus-Software selbst für die Datensammlung ein.
Erst seit etwa einer Woche bittet die Software zumindest manche Nutzer per Pop-up um ihre Zustimmung zur Datenerhebung. Offenbar kommen die so kontaktierten Nutzer gar nicht auf die Idee, die Zustimmung könne zum Verkauf ihrer Daten an Dritte führen. Zumindest erfuhr Vice das auf Nachfrage von Nutzern, die bereits mit dem Pop-up interagiert hatten.
Illegale Daten, was tun?
Es bleibt abzuwarten, welche Konsequenzen sich nun für Avast ergeben. Im Grunde kann eine Datensammlung ohne Nutzereinwilligung nur dazu führen, dass die so erhobenen Daten nicht länger benutzt, mithin gelöscht werden müssten. Hinsichtlich der mit Einwilligung erhobenen Daten müsste genau geschaut werden, ob die der Einwilligung zugrundeliegende Information transparent und verständlich klar macht, wozu Nutzer hier eigentlich ihre Einwilligung erteilen. Das scheint nach den Vice-Erkenntnissen zumindest fraglich.
...
Herausgeber: t3n.de
Weitere Datenschutz News
| WhatsApp scheitert vor EU-Gericht mit Klage gegen Millionenstrafe | 12.12.2022 | Lesen |
| Schulen müssen bis zum Sommer Microsoft 365 ersetzen | 27.04.2022 | Lesen |
| Kritische Schwachstelle in Java-Bibliothek Log4j | 12.12.2021 | Lesen |
| Siri hört ungewollt mit: Apple wird Datenschutzklage nicht los | 04.09.2021 | Lesen |
| Whatsapp muss 225 Millionen Euro Strafe zahlen | 02.09.2021 | Lesen |
| Amazon bekommt 746 Millionen Euro Datenschutz-Strafe | 01.08.2021 | Lesen |
| Warum der IT-Sicherheitsleitfaden des BSI für Politiker für alle gilt | 29.06.2021 | Lesen |
| Kritische Schwachstellen in Exchange-Servern | 09.03.2021 | Lesen |
| Cyberfibel: Nachschlagewerk für digitale Aufklärung | 19.10.2020 | Lesen |
| Microsoft Office 365: Die Gründe für das Nein der Datenschützer | 05.10.2020 | Lesen |
| EuGH erklärt Privacy Shield für ungültig | 29.07.2020 | Lesen |
| DSGVO: Irische Datenschutzbehörde knöpft sich Twitter und WhatsApp vor | 24.05.2020 | Lesen |
| Cyber-Kriminelle nutzen Corona-Krise vermehrt aus | 07.04.2020 | Lesen |
| Installation auch in Deutschland mit Microsoft-Kontozwang | 21.02.2020 | Lesen |
| Dokumenten-Leak: Avast Antivirus verkauft offenbar Browser-Daten seiner Nutzer | 27.01.2020 | Lesen |
