Ko še antivirusarjem ne moreš zaupati ...

Češka družba Avast, katere brezplačno protivirusno programsko opremo uporablja na milijone ljudi po vsem svetu, je po poročanju računalniških revij Motherboard in PC Mag prek hčerinske družbe Jumpshot prodajala občutljive podatke spletnega brskanja svojih uporabnikov.


Programska oprema je beležile klike in premike uporabnikov po svetovnem spletu ter zbirala podatke, kot so iskanje na googlu in Googlovih zemljevidih, pa tudi obiske na straneh poslovne platforme linkedin, videoportala youtube in spletnih strani s pornografskimi vsebinami.
 

Prepakiranje podatkov

Zbrane podatke je družba Jumpshot, ki se na svoji spleti strani hvali, da »priskrbi digitalne podatke iz najbolje zagrajenih vrtičkov na internetu«, nato prepakirala in prodala zunanjim partnerjem. Med strankami so ali so bili tudi Google, Yelp, Microsoft, Pepsi, Home Depot, Revlon in Unilever, pravi poročilo omenjenih revij, ki govori tudi o »curljanju uporabniških podatkov, pogodb in drugih poslovnih dokumentov v javnost«.
 

Zbiranje s privolitvijo

Družba Avast je v pisni izjavi za javnost sporočila, da Jumpshot ne zbira »osebnih identifikacijskih podatkov, kot so imena, elektronski naslovi ali kontaktni podatki« in da so uporabniki vedno imeli možnost, da zavrnejo posredovanje brskalnih podatkov Jumpshotu. »Od julija 2019 smo uporabnikom pri vseh novih prenosih naše protivirusne opreme začeli ponujati možnost, s katero izrecno potrdijo pošiljanje podatkov, trenutno pa uporabnikom naše brezplačne programske opreme ponujamo možnost, da to potrdijo ali zavrnejo.« Kakor so še zapisali, pri Avastu razumejo in zelo resno jemljejo svojo »odgovornost pri iskanju ravnotežja med zasebnostjo uporabnikov in nujno uporabo podatkov v svojem poslu«.


Avast naj bi za potrditev ali zavrnitev pošiljanja podatkov poskrbel s pojavnim okencem v svojem protivirusnem programu. A kakor so reviji Motherboard zaupali številni uporabniki Avastove opreme, se niso zavedali, da se podatki o njihovih spletnih navadah prodajajo naprej. V Avastovih pogojih uporabe oziroma pravilih zasebnosti piše, da se osebni podatki s strinjanjem uporabnika uporabljajo za »ustvarjanje (anonimnih) podatkovnih baz, ki jih Jumpshot uporablja za oblikovanje analiz tržnih trendov in storitev«.
 

Vodstvo je ukrepalo

A le nekaj dni po objavi poročila, ki je močno odmevalo na svetovnem spletu, je izvršni direktor Avasta Ondřej Vlček v blogu zapisal, da se je vodstvo družbe odločilo »ustaviti Jumpshotovo zbiranje podatkov in omejiti obseg njegovih dejavnosti«.


Poudaril pa je, da sta tako Avast kot Jumpshot delala v zakonitih okvirih, pri čemer sta spoštovala tudi Splošno uredbo Evropske unije o varstvu osebnih podatkov (GDPR).