„Ingyenes” vírusirtót használ? Íme, ennyibe kerülhet

Az internet tele van rejtett fenyegetésekkel. Szerencsére a vírusirtó szoftverek észrevehetik a leselkedő veszélyeket. Akár egy ingyenes eszközt is igénybe lehet venni, hiszen egy fillérbe sem kerül, s valamennyire csak megvédi az is a számítógépünkön tárolt adatainkat – gondolnánk. De nem: mint mindenütt, itt is azt kapjuk, amiért fizetünk.

Ez a sztori úgy indult, hogy az Avast Online Security névre hallgató bővítményt 2019 decemberében törölték a Mozilla, a Chrome és az Opera letölthető bővítményeket kínáló áruházaiból, miután kiderült, hogy gyanúsan sok adatot gyűjt felhasználóiról. Nem elég, hogy a meglátogatott webhelyek listáját, de még a felhasználó tartózkodási helyét, keresési előzményeit, korát, nemét, közösségi oldalakon használt azonosítóit, sőt még szállítási adatait is gyűjtötte a program. Három hónappal később az Avast leállította a Jumpshot névre hallgató leányvállalatát, miután nyilvánosságra jutott, hogy 100 millió felhasználó jogosulatlan megfigyeléssel összegyűjtött adatait értékesítették.

Így kémkedett az Avast a felhasználói után 7 évig

Elsőként az Adblock Plus megalapítója, Wladimir Palant hozta nyilvánosságra az Avast tisztességtelen praktikáit. 2019 októberében részletesen ismertette blogján, hogy szerinte az Avast milyen módszerekkel képes a teljes böngészési előzményeink és böngészési szokásaink jelentős részének rekonstruálására alkalmas adatokat továbbítani. A dolog lényege, hogy

Az Avast ugyan váltig állította, hogy az Online Security bővítménynek szükséges része az adatgyűjtés, a konkurens vírusirtók hasonló bővítményei azonban tökéletesen működnek anélkül, hogy ilyen mennyiségű személyes adatot gyűjtenének felhasználóikról.

Ezután jött az információ, hogy a rengeteg adatot az Avast a Jumpshot nevű leányvállalatán keresztül értékesítette olyan nagyvállalatoknak, mint a Home Depot, a Google és a Pepsi.

Az Avast leányvállalata dollármilliókért értékesített felhasználói adatokat

Az Avast 2013-ban felvásárolta az „anonim” felhasználói adatok gyűjtésére, összegzésére és eladására specializált Jumpshotot. Erről a cégről nyilvánosan igen keveset lehetett tudni – mindössze annyit, hogy „100 millió online vásárló és 40 millió mobilapp-felhasználó összesített adataihoz jutottak hozzá”. A Jumpshot által összegyűjtött felhasználói adatok tényleges forrása az Avast és az AVG Online Security bővítményeiben elrejtett kémprogram volt. Palant volt a vizsgálódás vezetője, azonban a Jumpshot koporsójába igazából a 2020 elején publikált VICE Motherboard cikk ütötte az utolsó szöget. Ebben felsorolták az összes olyan céget, amely a Jumpshot-től vásárolt adatokat, s külső informátorok, valamint a két cégtől kiszivárgott belső dokumentumok is igazolták az adatlopást. Hiába magyarázkodott a Jumpshot, hogy egyedi személyazonosságot igazoló adatokat nem adtak el, ez a szakértők jó részét nem győzte meg.

A vizsgálatokból kiderült, hogy a Jumpshot adataiban ezredmásodperces pontossággal szerepelt az Avast Online Security felhasználóinak minden egyes kattintása, ráadásul ezek mellett országra, városra, irányítószámra és IP-címekre vonatkozó adatok is szerepeltek. Az e-mail címeket és közösségi profilokat cenzúrázó algoritmusról megtudták, hogy súlyos hiányosságokkal küzd – a Jumpshot által értékesített adatcsomagokban szerepeltek teljes szállítási adatok (nevekkel és lakcímekkel együtt) is.

Miután a Chrome, a Mozilla és az Opera webáruházából is eltűnt a bővítmény, az Avast-nak lett volna esélye, hogy felhagyjon az adatsértő praktikákkal. De nem ezt tették: a december végén visszakerült bővítményben ugyan már nem volt benne az adatgyűjtésért felelős kémprogram, viszont a Motherboard cikk leleplezte, hogy valójában csak átkerült a fő vírusvédelmi termékükbe. Amelyben telepítés közben bukkant fel egy, az adatgyűjtésbe való beleegyezésre szolgáló kérdés formájában.

A közfelháborodását követően 2020 februárjában az Avast végre beszüntette a Jumpshot tevékenységét: 7 éven át profitáltak felhasználók adataiból, ami az egyik legsúlyosabb etikai vétség a vírusirtó szoftverek történelmében.

Miért különösen súlyosak a vírusirtók gyártói által elkövetett etikai vétségek?

A vírusirtók általában igen mélyre hatolnak gépünkben – olyan szintű rendszerhozzáférést kapnak, amelyre igen kevés más jellegű szoftvert lehet példának felhozni. Hozzáférhetnek például kényes adatainkhoz, személyes fájljainkhoz, böngészési előzményeinkhez, pénzügyi adatainkhoz, valamint otthoni hálózatunkról is sokat megtudhatnak.

Azzal a feltételezéssel egyezünk bele adatvédelmi és felhasználói szabályzataikba, hogy a nagy mennyiségű, jogi szakkifejezésekkel tömött szabályzatokban nem rejtettek el mindenféle megtévesztésre is alkalmas passzusokat. Azonban mivel az Avast visszaélt a felhasználók szoftverbe vetett bizalmával, világszerte megrontotta a felhasználók és a vírusirtók közötti viszonyt. Épp elég a különféle hackerek és kormányzati szervek adatlopási kísérletei miatt aggódni, nem kell még az is, hogy már a vírusirtók gyártóiban se bízhassunk.

A Jumpshot-ot hivatalosan leállították, az Avast Online Security pedig ismét megtalálható a Chrome és a Mozilla webáruházaiban, immár szigorúbb adatvédelmi beállításokkal. Joggal gondolhatjuk azonban, hogy ha a független szakértők nem buktatták volna le és dokumentálták volna alaposan ezeket a súlyos szabálysértéseket, az Avast ma is folytatná korábbi tevékenységét.

Az Avast kiberbiztonsági szoftvercéget most februárban 16,5 millió dolláros (mintegy 6 milliárd forint) pénzbírsággal sújtotta az Amerikai Szövetségi Kereskedelmi Bizottság (FTC). Az FTC szerint az Avast száznál több ügyfélnek adott el adatokat, köztük tanácsadó cégeknek, reklámcégeknek és adatbrókereknek. A bírságon felül az Avast az FTC megtiltja a cégnek az adatok értékesítését.

„Bár nem értünk egyet az FTC állításaival, örömünkre szolgál, hogy megoldottuk ezt az ügyet, és várjuk, hogy továbbra is kiszolgálhassuk ügyfeleink millióit szerte a világon” – áll a Avast közleményében.

Ma az Avast tehát újra elérhető a nagyobb webáruházakban, és 400 milliós felhasználói bázisuk jelentős része továbbra is – az adatvédelmi botrányt figyelmen kívül hagyva – használja szolgáltatásukat.