Dokumenten-Leak: Avast Antivirus verkauft offenbar Browser-Daten seiner Nutzer

Wie die Vice-Publikation Motherboard in Kooperation mit PCmag herausfinden konnte, verkauft das Unternehmen Jumpshot, Teil der Avast-Firmengruppe, überaus detaillierte Browser-Daten, im Grunde die komplette Browser-Historie der Nutzer seiner kostenlosen Avast-Antivirus-Software. Zu den Käufern der sensiblen Daten gehören laut Vice Größen wie Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit und viele andere.
Jumpshot verspricht seinen Kunden, jeden Klick zu dokumentieren
Jumpshot wirbt mit dem Slogan „Every search. Every click. Every buy. On every site.“ Die Fettsetzung gehört zum Slogan. In der Übersetzung rühmt sich Jumpshot demnach damit, jede Suche, jeden Klick, jeden Kauf auf jeder Website zu registrieren. Das sind für Unternehmen natürlich wertvolle Daten.
Jumpshot hätte also ein komplettes Bewegungsprofil für jeden Nutzer der Avast-Antivirus-Software zur Hand. Glaubt man den Angaben von Avast, umfasst diese Nutzerbasis eine Summe von 435 Millionen monatlich aktiven Nutzern mit insgesamt rund 100 Millionen Geräten.
Das enthalten die Jumpshot-Daten
Nach den Vice und PCmag vorliegenden Datenstichproben finden sich in den Jumpshot-Kollektionen Google-Suchen, Ortssuchen, GPS-Koordinaten aus Google Maps, besuchte Linkedin-Seiten, angesehene Youtube-Videos, sowie besuchte Porno-Seiten, nebst der dort verwendeten Suchbegriffe und den Videos, die Nutzer auf den Porno-Seiten angeschaut haben.
Die Daten beinhalten keine weiteren personenbezogenen Daten, sind also nach konventioneller Lesart anonym. Allerdings verwendet Avast wohl eine eindeutige Geräte-ID für jede Installation seiner Antiviren-Software, die stabil bleibt und sich nur ändert, wenn der Nutzer die Software komplett deinstalliert und dann erneut installiert – ein eher seltenes Szenario.
Zwar gibt Jumpshot diese ID-Daten nicht an zahlende Kunden heraus, gelöscht werden sie indes offenbar auch nicht. So erscheint es durchaus wahrscheinlich, dass die Kombination der Bewegungsdaten mit der Geräte-ID zu einer Identifizierung der Person hinter der Historie führen könnte.
Datensammlung erfolgte jahrelang im Stealth-Mode
Die Datensammlung hatte Avast zunächst über diverse Browser-Erweiterungen bewerkstelligt, die während der Installation über ein Plugin eingepflanzt wurden. Dabei sollen auch die Erweiterungen des Schwesterprodukts AVG mitgenutzt worden sein. Nachdem diese Art der Datensammelei vom Adblock-Plus-Entwickler Wladimir Palant im Oktober 2019 öffentlich gemacht worden war, entfernten Mozilla, Opera und Google die entsprechenden Erweiterungen aus ihren jeweiligen Extension-Stores. Zu diesem Zeitpunkt könnte die Datensammlung bereits vier Jahre lang gelaufen sein, wie aus diesem Foren-Beitrag zu interpretieren ist.
Nach der Enthüllung der Aktivitäten und dem daraus resultierenden Store-Ausschluss soll Avast keine weiteren Daten aus etwa noch installierten Erweiterungen an Jumpshot gesendet haben. Stattdessen setzt das Unternehmen nach den Vice-Ermittlungen nun die Antivirus-Software selbst für die Datensammlung ein.
Erst seit etwa einer Woche bittet die Software zumindest manche Nutzer per Pop-up um ihre Zustimmung zur Datenerhebung. Offenbar kommen die so kontaktierten Nutzer gar nicht auf die Idee, die Zustimmung könne zum Verkauf ihrer Daten an Dritte führen. Zumindest erfuhr Vice das auf Nachfrage von Nutzern, die bereits mit dem Pop-up interagiert hatten.
Illegale Daten, was tun?
Es bleibt abzuwarten, welche Konsequenzen sich nun für Avast ergeben. Im Grunde kann eine Datensammlung ohne Nutzereinwilligung nur dazu führen, dass die so erhobenen Daten nicht länger benutzt, mithin gelöscht werden müssten. Hinsichtlich der mit Einwilligung erhobenen Daten müsste genau geschaut werden, ob die der Einwilligung zugrundeliegende Information transparent und verständlich klar macht, wozu Nutzer hier eigentlich ihre Einwilligung erteilen. Das scheint nach den Vice-Erkenntnissen zumindest fraglich.
Bei fefe sind Schlangenölfestivalwochen. ^^
Der letzte Absatz ist auch ein Hohn. Dürfen nicht mehr genutzt werden… wurden ja nur schon an eine Vielzahl von Firmen weiterverkauft. Verstehe das die Gesetzte nicht. Es ist doch spätestens seit DSGVO (davor auch schon) streng verboten. Was jetzt folgen muss, ist entweder eine wirklich absurd hohe Strafe, weil es Geschäftsmäßig und absichtlich war, oder du löst die Firma komplett auf und anziehst ihnen jegliche Befugnisse. Der Geschäftsführer müsste außerdem persönlich haften, für solche Entscheidungen.
Ja, wäre extrem, es läuft aber gerade auch überall extrem aus dem Ruder und irgendwie kapiert der Staat nicht, dass die Strafen für Milliardenfirmen an der Börse, weniger schlimm sind, als auf die Daten zu verzichten.
Absolut deiner Meinung! Schlimmer kann eine Datenschutzverletzung nicht betrieben werden! Neben einem Saftigen Bußgeld (Höchststafe!) muss eigentlich das, was sie für die Daten kassiert haben komplett eingezogen werden und auch die kaufenden Unternehmen machen sich sicher strafbar.
Also google und Co KG nutzt meines Wissens nach 95% aller Nutzer. Hinzu kommt, daß 87% aller Internet Nutzer auch in irgend einer Art und Weise einen Socialmedia Account besitzt. Zum anderen werden auch versteckte werbelinks auf Webseiten geschaltet die unerfahrene Nutzer nicht einsehen können. Zum anderen weißt Avast in seinen AGBs seit gut 4 Jahren schon darauf hin, dass sie Nutzer Daten speichern möchten und dies auch tun, wenn dem NICHT ausdrücklich Wiedersprochen wird.
Naja, für mich gestaltet sich die Sache so. Das Problem ist leider 60 cm vor dem Monitor zu suchen. Oder wie wir es aus der IT zu sagen pflegen, dies ist ein typisches Layer7 Problem.
Also wer lesen kann ist klar im Vorteil. Und das beste daran – Lesen und VERSTEHEN, ist bei vielen Menschen auf der Strecke geblieben.