Skandal z Avast: Dlaczego przestaliśmy rekomendować Avast i AVG

Nasi czytelnicy wysyłali nam wiadomości i pytali, dlaczego w rankingu na naszej stronie w dalszym ciągu umieszczamy Avast i AVG, mimo, że byli częścią poważnego skandalu. Ostatecznie, po wielu przemyśleniach pomiędzy działami postanowiliśmy ostatecznie usunąć je ze wszystkich naszych list.

Dlaczego? Ponieważ Avast — który jest również właścicielem AVG — w ciągu ostatnich kilku miesięcy znalazł się w centrum burzy kontrowersji dotyczących poważnych zarzutów nieetycznych praktyk biznesowych.

Rozszerzenie przeglądarki Avast Online Security zostało usunięte z serwisów Mozilla, Chrome i Opera w grudniu 2019 roku, po tym jak stwierdzono, że gromadził podejrzaną ilość danych o użytkownikach — nie tylko każdą odwiedzoną stronę, ale także lokalizację użytkownika, historię wyszukiwania, wiek, płeć, tożsamość w mediach społecznościowych, a nawet osobiste informacje adresowe. Trzy miesiące później Avast zamknął spółkę zależną Jumpshot w wyniku raportów śledczych dokumentujących sprzedaż danych osobowych około 100 milionów użytkowników, uzyskanych w wyniku nieetycznej inwigilacji użytkowników.

Zespół SafetyDetectives starannie rozważył naszą decyzję o usunięciu Avast z naszej witryny w ciągu najbliższych kilku tygodni. Ostatecznie każda firma, na której ciążą tak poważne zarzuty, straciła wiarygodność i nie może otrzymać naszej akceptacji.

Wladimir Palant — założyciel Adblock Plus — był pierwszą osobą, która zaalarmowała o niewłaściwych praktykach Avasta. W październiku 2019 roku opublikował obciążające informacje na swoim blogu ze szczegółowym objaśnieniem dotyczącym tego jak jego zdaniem Avast był w stanie “przesyłać dane, które pozwalają zrekonstruować całą historię przeglądania stron internetowych i większość zachowań użytkownika.”

Zasadniczo rozszerzenia Avast i AVG Online Security rejestrowały każde kliknięcie użytkownika — dokumentując, które strony odwiedzono, kiedy i skąd. Podczas gdy Avast twierdził, że gromadzenie danych było niezbędną częścią wtyczki Online Security, rozszerzenia przeglądarki od konkurencyjnych marek wydawały się działać dobrze bez gromadzenia i przechowywania tak dużej ilości danych osobowych.

Następnie ujawniono, że dane te były sprzedawane dużym klientom korporacyjnym, takim jak Home Depot, Google i Pepsi, za pośrednictwem spółki zależnej Avast o nazwie Jumpshot.

Spółka zależna Avast sprzedawała dane użytkownika za miliony dolarów w zyskach

W 2013 r. Avast nabył Jumpshot, firmę, która zbierała „anonimowe” dane użytkownika i sprzedawała je firmom internetowym. Informacje publiczne Jumpshot były bardzo niejasne, ale twierdzili, że uzyskali „dane przepływu od 100 milionów kupujących online i 40 milionów użytkowników aplikacji”. Źródłem danych użytkownika Jumpshot było oprogramowanie szpiegujące wbudowane w rozszerzenia Avast i AVG w Internet Security Browser. Palant był siłą napędową ujawnienia sprawy, ale gwóźdź w trumnie Jumpshota był ten artykuł autorstwa VICE Motherboard, opublikowany na początku 2020 roku. Wymienia korporacje, które kupiły dane od Jumpshot wraz z zeznaniami demaskatora i wyciekami dokumentów z Avast i Jumpshot. Jumpshot twierdził, że w sprzedawanych przez nich danych nie było żadnych „danych osobowych”, ale wielu ekspertów nie było co do tego przekonanych.

Z dochodzenia wynika, że dane Jumpshot zawierały każde kliknięcie wykonane przez użytkowników Avast Online Security wraz ze oznaczeniami czasu (z dokładnością do milisekundy), informacjami o kraju, mieście i kodzie pocztowym z adresów IP użytkowników. Algorytm, który został zaprojektowany do cenzurowania określonych danych, takich jak adresy e-mail i profile w mediach społecznościowych, był wedle doniesień Palanta poważnie wadliwy — w pakietach danych sprzedawanych przez Jumpshot zawarte były pełne dane do przesyłki od operatorów pocztowych, w tym nazwiska i adresy domowe.

Senatorowie USA i dziennikarze śledczy pociągnęli Avast do odpowiedzialności

Senator z Oregonu Ron Wyden, znany zwolennik cyberbezpieczeństwa, neutralności sieci i prywatności cyfrowej, publicznie wywołał Avast w grudniu 2019 r., stwierdzając na Twitterze, że „Amerykanie oczekują od oprogramowania do cyberbezpieczeństwa i ochrony prywatności, ochrony swoich danych, a nie sprzedawania ich marketerom. Przyglądam się temu niepokojącemu raportowi na temat Avast i jego braku ochrony danych konsumentów”.

Następnie, po usunięciu go ze sklepów internetowych Chrome, Mozilla i Opera, Avast miał okazję porzucić swoje naruszające prywatność sposoby i zacząć działać jak szanowana firma zajmująca się cyberbezpieczeństwem. Zmienili ustawienia prywatności rozszerzenia przeglądarki Online Security, która została przywrócona do sklepów internetowych pod koniec grudnia. Jednak, jak publikacja VICE Motherboard ujawniła, że tak naprawdę po prostu przenieśli swoją kolekcję danych do głównego pakietu antywirusowego, umieszczając pytanie, którym wyrażasz zgodę na zbieranie danych podczas procesu instalacji.

Wraz z publikacją artykułu VICE Motherboard, w obliczu jednomyślnej dezaprobaty opinii publicznej, Avast ostatecznie zamknął Jumpshot całkowicie w lutym 2020 roku. Jednak dla SafetyDetectives i wielu innych podmiotów ze świata cyberbezpieczeństwa było to za mało i za późno. 7 lat potajemnego czerpania korzyści z danych użytkowników czyni to jednym z największych etycznych naruszeń w historii oprogramowania antywirusowego.

Dlaczego naruszenia zasad etyczności przez firmy antywirusowe są szczególnie poważne

Oprogramowanie antywirusowe to jedne z najbardziej inwazyjnych programów na świecie. Dajemy naszemu oprogramowaniu antywirusowemu bezprecedensowy dostęp do naszego systemu — dla naszego programu antywirusowego widoczne są poufne pliki, historia przeglądania, informacje finansowe i sieci osobiste. Podpisujemy politykę prywatności i umowy z użytkownikami zakładając, że w języku prawnym nie ma niczego zwodniczego. Jednak naruszając w ten sposób prywatność swoich klientów, Avast zniszczył relacje między użytkownikami i produktami antywirusowymi na całym świecie. Jest wystarczająco dużo zagrożeń ze strony hakerów i inwazyjnych rządów, którymi należy się martwić — dostawcy oprogramowania antywirusowego nie powinni stanowić kolejnego zagrożenia dla bezpieczeństwa użytkowników.

Jumpshot został oficjalnie zamknięty, a Avast Online Security powraca do sklepów internetowych Chrome i Mozilla z bardziej rygorystycznymi zabezpieczeniami prywatności. Jednak faktem jest, że Avast nieetycznie czerpał zyski z danych użytkowników przez 7 lat, a jedyną rzeczą, która ich powstrzymała, był reportaż obywatelski Władimira Palanta i dziennikarzy śledczych z VICE Motherboard. Naszym zdaniem, gdyby niezależni specjaliści dokładnie nie udokumentowali tych poważnych naruszeń i nie powiadomili opinii publicznej, Avast nadal czerpałby korzyści z tego oszustwe. Można nawet podejrzewać, że Avast tak naprawdę wziął pod uwagę zmianę swoich praktyk dopiero po tym, jak amerykański senator wystąpił przeciwko nim.

Opinie użytkowników doprowadziły nas do usunięcia Avast z SafetyDetectives

U nas, w SafetyDetectives, przez lata mieliśmy inne problemy z Avast — po negatywnej recenzji tak naprawdę wycofali swoje reklamy z naszej strony internetowej. Mimo to zawsze staraliśmy się zapewniać Wam najlepsze produkty cyberbezpieczeństwa w Internecie, niezależnie od naszych relacji biznesowych z firmami, które utrzymują naszą witrynę. Właśnie dlatego w dalszym ciągu umieszczaliśmy Avast i AVG na naszych listach — nawet zachowaliśmy je jako wybór numer 1 wśród programów antywirusowych dla urządzeń mobilnych:

Dlaczego naruszenia zasad etyczności przez firmy antywirusowe są szczególnie poważne

Jednak biorąc pod uwagę tak rażące naruszenia prywatności użytkowników, które miały miejsce w ciągu ostatnich 7 lat, nie możemy dłużej promować Avast ani żadnej z ich spółek zależnych (takich jak AVG) na naszej stronie.

Od dłuższego czasu rozważamy taki ruch. Mimo. że wiele najlepszych witryn z recenzjami nadal promuje Avast — i czerpie z tego zyski — my od dłuższego czasu systematycznie usuwamy je z naszych list. Ostateczną motywacją dla nas były wszystkie opinie, które otrzymaliśmy od naszych czytelników z następującymi wiadomościami: “Po incydencie ze sprzedażą danych przez AVAST, to oprogramowanie nie powinno otrzymać żadnej pozytywnej recenzji ani rekomendacji”.

Całkowicie się zgadzamy. Tego rodzaju naruszenia prywatności powinny przeszkadzać każdemu, kto wierzy w podstawowe prawa człowieka. Dlatego tak ważne jest, aby użytkownicy komputerów byli na bieżąco z tymi problemami i chronili swoje komputery za pomocą wiarygodnego oprogramowania antywirusowego.

Chociaż nie zawsze jest to łatwe lub popularne, ważne jest przeciwstawiać się dużym firmom, które naruszają nasze prawa. SafetyDetectives zostało założone z myślą o zapewnieniu ludziom na całym świecie narzędzi do ochrony danych w erze cyfrowej — przed hakerami, nieetycznymi rządami, a nawet drapieżnymi firmami cyberbezpieczeństwa, takimi jak Avast, które pokazały światu, jak mało dbają o swoich użytkowników.

Podczas gdy Avast powraca do większości głównych sklepów internetowych, a większość z ich 400 milionów użytkowników nadal korzysta z ich oprogramowania, nieświadomi tych naruszeń etycznych, wszyscy z zespołu SafetyDetectives czujemy się dumni z tego, że pozostajemy wierni naszym przekonaniom

Jeśli więc zastanawiasz się, dlaczego w naszej witrynie nie ma wzmianki o Avast lub AVG, to właśnie dlatego.

Jeśli potrzebujesz programu antywirusowego, który nie wykradnie Twoich danych i nie sprzeda ich Pepsi, sprawdź naszą listę najlepszego oprogramowania antywirusowego w 2020 roku.

O autorze

Ben Martens
Ben Martens
Cybersecurity journalist

O autorze

Ben Martens jest dziennikarzem ds. bezpieczeństwa cybernetycznego, mającym doświadczenie w zakresie etyki internetowej, testowania złośliwego oprogramowania i polityki publicznej. Mieszka w Oregonie, a kiedy nie broni praw internautów, chodzi na spacery z psem i wymyśla historie z córką.