News

Dokumenten-Leak: Avast Antivirus verkauft offenbar Browser-Daten seiner Nutzer

(Foto: Herrndorff / Shutterstock)

Eine Tochtergesellschaft von Avast, dem Hersteller einer populären Antiviren-Software, soll in großem Stil Browserdaten der Nutzer eben dieser Antiviren-Software verkaufen.

Wie die Vice-Publikation Motherboard in Kooperation mit PCmag herausfinden konnte, verkauft das Unternehmen Jumpshot, Teil der Avast-Firmengruppe, überaus detaillierte Browser-Daten, im Grunde die komplette Browser-Historie der Nutzer seiner kostenlosen Avast-Antivirus-Software. Zu den Käufern der sensiblen Daten gehören laut Vice Größen wie Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit und viele andere.

Jumpshot verspricht seinen Kunden, jeden Klick zu dokumentieren

Jumpshot wirbt mit dem Slogan „Every search. Every click. Every buy. On every site.“ Die Fettsetzung gehört zum Slogan. In der Übersetzung rühmt sich Jumpshot demnach damit, jede Suche, jeden Klick, jeden Kauf auf jeder Website zu registrieren. Das sind für Unternehmen natürlich wertvolle Daten.

Jumpshot hätte also ein komplettes Bewegungsprofil für jeden Nutzer der Avast-Antivirus-Software zur Hand. Glaubt man den Angaben von Avast, umfasst diese Nutzerbasis eine Summe von 435 Millionen monatlich aktiven Nutzern mit insgesamt rund 100 Millionen Geräten.

Das enthalten die Jumpshot-Daten

Nach den Vice und PCmag vorliegenden Datenstichproben finden sich in den Jumpshot-Kollektionen Google-Suchen, Ortssuchen, GPS-Koordinaten aus Google Maps, besuchte Linkedin-Seiten, angesehene Youtube-Videos, sowie besuchte Porno-Seiten, nebst der dort verwendeten Suchbegriffe und den Videos, die Nutzer auf den Porno-Seiten angeschaut haben.

Die Daten beinhalten keine weiteren personenbezogenen Daten, sind also nach konventioneller Lesart anonym. Allerdings verwendet Avast wohl eine eindeutige Geräte-ID für jede Installation seiner Antiviren-Software, die stabil bleibt und sich nur ändert, wenn der Nutzer die Software komplett deinstalliert und dann erneut installiert – ein eher seltenes Szenario.

Zwar gibt Jumpshot diese ID-Daten nicht an zahlende Kunden heraus, gelöscht werden sie indes offenbar auch nicht. So erscheint es durchaus wahrscheinlich, dass die Kombination der Bewegungsdaten mit der Geräte-ID zu einer Identifizierung der Person hinter der Historie führen könnte.

Datensammlung erfolgte jahrelang im Stealth-Mode

Die Datensammlung hatte Avast zunächst über diverse Browser-Erweiterungen bewerkstelligt, die während der Installation über ein Plugin eingepflanzt wurden. Dabei sollen auch die Erweiterungen des Schwesterprodukts AVG mitgenutzt worden sein. Nachdem diese Art der Datensammelei vom Adblock-Plus-Entwickler Wladimir Palant im Oktober 2019 öffentlich gemacht worden war, entfernten Mozilla, Opera und Google die entsprechenden Erweiterungen aus ihren jeweiligen Extension-Stores. Zu diesem Zeitpunkt könnte die Datensammlung bereits vier Jahre lang gelaufen sein, wie aus diesem Foren-Beitrag zu interpretieren ist.

Nach der Enthüllung der Aktivitäten und dem daraus resultierenden Store-Ausschluss soll Avast keine weiteren Daten aus etwa noch installierten Erweiterungen an Jumpshot gesendet haben. Stattdessen setzt das Unternehmen nach den Vice-Ermittlungen nun die Antivirus-Software selbst für die Datensammlung ein.

Erst seit etwa einer Woche bittet die Software zumindest manche Nutzer per Pop-up um ihre Zustimmung zur Datenerhebung. Offenbar kommen die so kontaktierten Nutzer gar nicht auf die Idee, die Zustimmung könne zum Verkauf ihrer Daten an Dritte führen. Zumindest erfuhr Vice das auf Nachfrage von Nutzern, die bereits mit dem Pop-up interagiert hatten.

Illegale Daten, was tun?

Es bleibt abzuwarten, welche Konsequenzen sich nun für Avast ergeben. Im Grunde kann eine Datensammlung ohne Nutzereinwilligung nur dazu führen, dass die so erhobenen Daten nicht länger benutzt, mithin gelöscht werden müssten. Hinsichtlich der mit Einwilligung erhobenen Daten müsste genau geschaut werden, ob die der Einwilligung zugrundeliegende Information transparent und verständlich klar macht, wozu Nutzer hier eigentlich ihre Einwilligung erteilen. Das scheint nach den Vice-Erkenntnissen zumindest fraglich.

Passend dazu: Bericht: Marketing-Firma sammelte öffentliche Instagram-Daten im großen Stil

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

4 Kommentare
Titus von Unhold
Titus von Unhold

Bei fefe sind Schlangenölfestivalwochen. ^^

Antworten
John Boy
John Boy

Der letzte Absatz ist auch ein Hohn. Dürfen nicht mehr genutzt werden… wurden ja nur schon an eine Vielzahl von Firmen weiterverkauft. Verstehe das die Gesetzte nicht. Es ist doch spätestens seit DSGVO (davor auch schon) streng verboten. Was jetzt folgen muss, ist entweder eine wirklich absurd hohe Strafe, weil es Geschäftsmäßig und absichtlich war, oder du löst die Firma komplett auf und anziehst ihnen jegliche Befugnisse. Der Geschäftsführer müsste außerdem persönlich haften, für solche Entscheidungen.

Ja, wäre extrem, es läuft aber gerade auch überall extrem aus dem Ruder und irgendwie kapiert der Staat nicht, dass die Strafen für Milliardenfirmen an der Börse, weniger schlimm sind, als auf die Daten zu verzichten.

Antworten
Achim
Achim

Absolut deiner Meinung! Schlimmer kann eine Datenschutzverletzung nicht betrieben werden! Neben einem Saftigen Bußgeld (Höchststafe!) muss eigentlich das, was sie für die Daten kassiert haben komplett eingezogen werden und auch die kaufenden Unternehmen machen sich sicher strafbar.

Antworten
Kaleidos
Kaleidos

Also google und Co KG nutzt meines Wissens nach 95% aller Nutzer. Hinzu kommt, daß 87% aller Internet Nutzer auch in irgend einer Art und Weise einen Socialmedia Account besitzt. Zum anderen werden auch versteckte werbelinks auf Webseiten geschaltet die unerfahrene Nutzer nicht einsehen können. Zum anderen weißt Avast in seinen AGBs seit gut 4 Jahren schon darauf hin, dass sie Nutzer Daten speichern möchten und dies auch tun, wenn dem NICHT ausdrücklich Wiedersprochen wird.

Naja, für mich gestaltet sich die Sache so. Das Problem ist leider 60 cm vor dem Monitor zu suchen. Oder wie wir es aus der IT zu sagen pflegen, dies ist ein typisches Layer7 Problem.
Also wer lesen kann ist klar im Vorteil. Und das beste daran – Lesen und VERSTEHEN, ist bei vielen Menschen auf der Strecke geblieben.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung