Dokumenten-Leak: Avast Antivirus verkauft offenbar Browser-Daten seiner Nutzer

Eine Tochtergesellschaft von Avast, dem Hersteller einer populären Antiviren-Software, soll in großem Stil Browserdaten der Nutzer eben dieser Antiviren-Software verkaufen.

Wie die Vice-Publikation Motherboard in Kooperation mit PCmag herausfinden konnte, verkauft das Unternehmen Jumpstart, Teil der Avast-Firmengruppe, überaus detaillierte Browser-Daten, im Grunde die komplette Browser-Historie der Nutzer seiner kostenlosen Avast-Antivirus-Software. Zu den Käufern der sensiblen Daten gehören laut Vice Größen wie Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit und viele andere.

Jumpstart verspricht seinen Kunden, jeden Klick zu dokumentieren

Jumpstart wirbt mit dem Slogan „Every search. Every click. Every buy. On every site.“ Die Fettsetzung gehört zum Slogan. In der Übersetzung rühmt sich Jumpstart demnach damit, jede Suche, jeden Klick, jeden Kauf auf jeder Website zu registrieren. Das sind für Unternehmen natürlich wertvolle Daten.

Jumpstart hätte also ein komplettes Bewegungsprofil für jeden Nutzer der Avast-Antivirus-Software zur Hand. Glaubt man den Angaben von Avast, umfasst diese Nutzerbasis eine Summe von 435 Millionen monatlich aktiven Nutzern mit insgesamt rund 100 Millionen Geräten.

Das enthalten die Jumpstart-Daten

Nach den Vice und PCmag vorliegenden Datenstichproben finden sich in den Jumpstart-Kollektionen Google-Suchen, Ortssuchen, GPS-Koordinaten aus Google Maps, besuchte Linkedin-Seiten, angesehene Youtube-Videos, sowie besuchte Porno-Seiten, nebst der dort verwendeten Suchbegriffe und den Videos, die Nutzer auf den Porno-Seiten angeschaut haben.

Die Daten beinhalten keine weiteren personenbezogenen Daten, sind also nach konventioneller Lesart anonym. Allerdings verwendet Avast wohl eine eindeutige Geräte-ID für jede Installation seiner Antiviren-Software, die stabil bleibt und sich nur ändert, wenn der Nutzer die Software komplett deinstalliert und dann erneut installiert – ein eher seltenes Szenario.

Zwar gibt Jumpstart diese ID-Daten nicht an zahlende Kunden heraus, gelöscht werden sie indes offenbar auch nicht. So erscheint es durchaus wahrscheinlich, dass die Kombination der Bewegungsdaten mit der Geräte-ID zu einer Identifizierung der Person hinter der Historie führen könnte.

Datensammlung erfolgte jahrelang im Stealth-Mode

Die Datensammlung hatte Avast zunächst über diverse Browser-Erweiterungen bewerkstelligt, die während der Installation über ein Plugin eingepflanzt wurden. Dabei sollen auch die Erweiterungen des Schwetserprodukts AVG mitgenutzt worden sein. Nachdem diese Art der Datensammelei vom Adblock-Plus-Entwickler Wladimir Palant im Oktober 2019 öffentlich gemacht worden war, entfernten Mozilla, Opera und Google die entsprechenden Erweiterungen aus ihren jeweiligen Extension-Stores. Zu diesem Zeitpunkt könnte die Datensammlung bereits vier Jahre lang gelaufen sein, wie aus diesem Foren-Beitrag zu interpretieren ist.

Nach der Enthüllung der Aktivitäten und dem daraus resultierenden Store-Ausschluss soll Avast keine weiteren Daten aus etwa noch installierten Erweiterungen an Jumpstart gesendet haben. Stattdessen setzt das Unternehmen nach den Vice-Ermittlungen nun die Antivirus-Software selbst für die Datensammlung ein.

Erst seit etwa einer Woche bittet die Software zumindest manche Nutzer per Pop-up um ihre Zustimmung zur Datenerhebung. Offenbar kommen die so kontaktierten Nutzer gar nicht auf die Idee, die Zustimmung könne zum Verkauf ihrer Daten an Dritte führen. Zumindest erfuhr Vice das auf Nachfrage von Nutzern, die bereits mit dem Pop-up interagiert hatten.

Illegale Daten, was tun?

Es bleibt abzuwarten, welche Konsequenzen sich nun für Avast ergeben. Im Grunde kann eine Datensammlung ohne Nutzereinwilligung nur dazu führen, dass die so erhobenen Daten nicht länger benutzt, mithin gelöscht werden müssten. Hinsichtlich der mit Einwilligung erhobenen Daten müsste genau geschaut werden, ob die der Einwilligung zugrundeliegende Information transparent und verständlich klar macht, wozu Nutzer hier eigentlich ihre Einwilligung erteilen. Das scheint nach den Vice-Erkenntnissen zumindest fraglich.

...

Hier zum vollständigen Text

Herausgeber: t3n.de

 


Weitere Datenschutz News

 

Installation auch in Deutschland mit Microsoft-Kontozwang 21.02.2020 Lesen
Dokumenten-Leak: Avast Antivirus verkauft offenbar Browser-Daten seiner Nutzer 27.01.2020 Lesen
Gespräche von Skype praktisch ohne Datenschutz analysiert 11.01.2020 Lesen
So gelingt das Backup ganz einfach 21.11.2019 Lesen
Emotet befällt Medizinische Hochschule Hannover 27.09.2019 Lesen
Echtzeit-Übersetzung bei Skype: Mitarbeitern hören Gespräche mit 08.08.2019 Lesen
Aktuelle Spam-Mails verteilen Ransomware im Namen des BSI 31.07.2019 Lesen
Millionen verwundbarer Rechner: Microsoft warnt vor dem Super-Wurm 31.05.2019 Lesen
Datendiebstahl bei zahlreichen deutschen Firmen 30.04.2019 Lesen
Microsoft im Visier: 70 Prozent aller Hackerangriffe zielen auf Office-Produkte 16.04.2019 Lesen
Unbekannte verschaffen sich Zugang zu Web-Mail-Diensten 15.04.2019 Lesen
Unternehmen unterschätzen Gefahr durch Cyber-Sicherheitsvorfälle 10.04.2019 Lesen
Neue betrügerische Bewerbungsmail mit Erpressungstrojaner im Umlauf 07.11.2018 Lesen
DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen 23.10.2018 Lesen
Erpressungstrojaner verbreitet sich über gefälschte Bewerbungsmails 04.09.2018 Lesen


Allianz für Cyber-Sicherheit