Een onderzoek uitgevoerd door PCMag en Motherboard claimt dat cybersecuritybedrijf Avast (van onder andere Avast Antivirus) browserdata van gebruikers verkoopt. Waar dat op zich ook door Avast wordt toegegeven, meent het bedrijf zelf dat de verkregen data is geanonimiseerd waardoor het niet aan een specifieke gebruiker kan worden gelinkt. Dat aspect blijkt nu discutabel te zijn.
Door middel van Jumpshot zouden bepaalde partijen de data die Avast verzamelt (en anonimiseert) toch kunnen koppelen aan een persoon. In eerste instantie linkt Avast de data namelijk aan een niet traceerbaar ID (per gebruiker) en die data wordt verkocht. Daarin staat tot op de milliseconde wat gebruikers doen tijdens hun websurfen. Zo kan een webwinkel als Amazon met kleine moeite traceren welke gebruiker op een bepaald moment een specifiek product kocht, op het moment dat het anonieme ID van Avast dat ook deed. Zodoende kunnen er wel degelijk personen worden gekoppeld aan de data die Avast beweert onherkenbaar te maken.
Dat is volgens privacy-onderzoeker Gunes Acar dan ook het voornaamste probleem: data staat nooit op zichzelf. “De grootste bedreigingen die komen kijken bij het omdraaien van het anonimiseren, hebben te maken met het kunnen koppelen van bepaalde informatie met andere data. Misschien dat de data op zichzelf niet genoeg is, aangezien het mogelijk alleen URL’s en wat ID’s zijn. Maar het kan altijd gecombineerd worden met andere gegevens van marketeers of andere adverteerders die eigenlijk de daadwerkelijke identiteit zullen vinden”, aldus Acar.
In een reactie laat Avast weten dat gebruikers de mogelijkheid hebben om zich af te melden van het delen van data door Avast. Een optie die vanaf juli 2019 beschikbaar werd gemaakt voor alle nieuwe downloads van de antivirusprogramma’s. Bestaande gebruikers van de gratis versie zullen ‘uiterlijk in februari 2020’ dezelfde mogelijkheid hebben.
2 uur geleden
