“杀毒霸主”Avast被曝挖掘4.35亿用户数据卖给谷歌和微软

曾今的Avast，作为全球知名的杀毒软件，可以说是欧洲的骄傲。

其不仅拥有出色的杀毒能力，还免费对用户开放，凭借比较低的硬件占用空间和在此之上的付费扩展服务赢得广大用户的一众好感。然而，现在的Avast已经越来越多地沦落为一家赖皮的流氓软件厂商。

据了解，数月前微软曾清理过一次系统清理软件CCleaner，其本身不仅清理功能薄弱，安全也存在问题，而且还内置捆绑了Avast杀毒软件。而CCleaner的母公司正是2017年就被Avast收购的Piriform，此后CCleaner的质量服务和安全性能一直下降，Avast还悄悄地捆绑了自己的软件。

不仅如此，Avast被曝旗下的多款浏览器插件都有严重侵犯用户隐私的嫌疑，比如这些插件会在用户使用时详细记录其操作的踪迹，用户曾打开了哪些网页和在网页上停留了几秒钟等。

近日，根据外媒Vice和PCMag的联合调查发现，让人更为恼怒的是，Avast的Mac和Windows版杀毒软件一直被用于暗中挖掘用户数据，然后再把敏感信息出售给包括谷歌、微软和财务软件开发商Intuit等在内的第三方。

雷锋网了解到，Avast提供免费和付费的这些杀毒和安全工具，每月大约有超过4.35亿活跃用户在Macs、个人电脑和移动设备上使用Avast的产品，保护他们的数据免受伤害。同时，Avast的软件提供了选择加入的选项，允许公司收集某些类型的用户数据，然后通过附属公司Jumpshot进行销售。

“能赚钱”的数据

这些销售出的数据，对于Avast而言是一笔丰厚的收入。

在与Jumpshot客户的合同副本中，一家营销公司在2019年为数据访问支付了200多万美元，这些数据包括基于浏览行为推断的用户性别、年龄、删除个人身份信息的“整个网址字符串”，以及其他细节。

虽然设备标识被“散列”以防止客户端识别个人，但由于设备标识不会因为用户而改变，除非他们完全重新安装Avast工具，这可能允许随着时间的推移在一个用户上建立大量数据，从而导致可能的在线识别。

Avast表示，“由于我们的方法，可以确保Jumpshot不会从使用流行的免费杀毒软件的用户那里获取个人身份信息，包括姓名、电子邮件地址或联系方式等。”

该公司在声明中继续重申，用户有能力选择不共享数据，并且从2019年7月起，该公司已开始对杀毒软件的所有新下载实施明确的选择加入，所有现有的免费用户都将在2020年2月前做出选择。在其全球用户群中，Avast符合美国加州消费者隐私法案和欧洲《通用数据保护条例》。该公司在声明中称：

我们在保护用户设备和数据免受恶意软件攻击方面有着悠久的历史，我们理解并认真对待平衡用户隐私和必要的数据使用的责任。

从Avast到Jumpshot

据外媒披露，安装在个人电脑上的Avast防病毒程序收集数据后，Jumpshot将其重新打包，然后卖给谷歌、美版“大众点评网”Yelp、微软、麦肯锡、百事可乐、丝芙兰、家得宝、康德纳斯、Intuit和许多其他公司。

客户浏览数据的供应链

一些客户花了数百万美元购买的服务，它可以非常精确地跟踪用户的行为、点击和跨网站的操作。Avast声称，每月有超过4.35亿的活跃用户，而Jumpshot宣称有1亿台设备的数据。Avast从选择加入的用户那里收集数据，然后提供给Jumpshot，但多个Avast用户告诉Vice，他们并不知道Avast出售了浏览数据。

据Vice和PCMag获得的信息，这些数据包括谷歌搜索、谷歌地图上位置和GPS坐标的查找、访问公司LinkedIn页面的人、特别是YouTube视频以及访问色情网站的人。可以从收集的数据中确定匿名用户访问YouPorn and PornHub的日期和时间，在某些情况下还可以确定他们在色情网站中输入了什么搜索词以及观看了哪些特定视频。

尽管这些数据不包括用户姓名等个人信息，但仍包含大量特定的浏览数据，专家表示可能会取消某些用户的姓名。

Jumpshot在7月发布的一份新闻稿中称，他们致力于让营销人员对在线用户的行为有更深入的了解。Jumpshot此前曾公开讨论过其部分客户，有提到包括Expedia、IBM、Intuit，后者生产TurboTax、Loreal和HomeDepot，公司要求员工不要公开谈论Jumpshot与这些公司的关系。

联合调查结果显示，直到最近收集数据都是通过Avast的浏览器插件进行的，该插件向用户提供关于可疑和恶意网站的警告。安全研究人员和AdBlock Plus创建者弗拉基米尔·帕朗特（Wladimir Palant）在去年10月的一份报告中披露，该插件曾在10月份被用来获取数据，这促使Mozilla、Opera和谷歌取消了对Avast扩展的访问。

针对这一调查，Avast在声明中表示，该公司已停止向Jumpshot提供扩展收集的浏览数据。但是调查进一步从来源和泄露的文件中发现，Avast仍在进行数据收集，但通过杀毒软件本身，而不是浏览器插件。上周，一份内部文件显示Avast已开始要求免费杀毒工具的用户再次选择加入数据收集。

“如果他们选择加入，该设备将成为Jumpshot面板的一部分，所有基于浏览器的互联网活动都将报告给Jumpshot，”来自内部手册的一行文字建议。根据该文件，所收集的数据将回答用户访问了哪些网址，以及何时和以何种顺序访问的问题。

Why?

去年12月，参议员Ron Wyden曾提问Avast为什么要出售用户的浏览数据，他在一份声明中表示：

“令人鼓舞的是，Avast在与我进行了建设性的接触后，结束了一些最麻烦的做法。不过，我担心的是，Avast尚未承诺删除未经用户选择加入同意而收集和共享的用户数据，或终止销售敏感的互联网浏览数据。唯一负责任的做法是对未来的客户完全透明，并清除过去在可疑条件下收集的数据。”

雷锋网(公众号：雷锋网)了解到，微软就其购买Jumpshot产品的具体原因拒绝置评，并表示目前与该公司没有任何关系。

家得宝发言人在电子邮件声明中表示，“我们有时会利用第三方供应商的信息来帮助改进我们的业务、产品和服务。我们要求这些供应商拥有与我们共享此信息的适当权利。在这种情况下，我们会收到匿名的受众数据，这些数据无法用于识别个人客户。”

西南航空表示，公司与Jumpshot进行了讨论，但没有与该公司达成协议。IBM表示，它没有做客户的记录。

在其网站和新闻稿中，Jumpshot将百事可乐、咨询巨头贝恩公司（Bain&Company）和麦肯锡（McKinsey）列为客户。除了Expedia、Intuit和Loreal，其他尚未在公开宣传中提及的公司还包括咖啡公司Keurig、YouTube推广服务vidIQ和消费者洞察公司Hitwise。这些公司都没有回应外媒的置评请求。