Avast skandal: Zašto smo prestali preporučati Avast i AVG

Ben Martens
Objavljeno: 27. travnja 2020.
Avast skandal: Zašto smo prestali preporučati Avast i AVG

Naši čitatelji nam pišu i pitaju nas zašto još uvijek ocjenjujemo Avast i AVG na našoj web stranici, usprkos tome što su uhvaćeni u ozbiljnom skandalu. Nakon mnogo razmatranja i dogovaranja konačno smo odlučili da ih uklonimo sa svih naših popisa.

Zašto? Budući da je Avast — koji je također vlasnik AVGa — u posljednjih nekoliko mjeseci uhvaćen u sporu zbog ozbiljnih optužbi o neetičkoj poslovnoj praksi.

Ekstenzija preglednika Avast Online Security je izbrisana iz Mozilla, Chrome i Opera trgovina u prosincu 2019. godine nakon tvrdnji da sakuplja sumnjivu količinu korisničkih podataka — ne samo sve posjećene web stranice, nego i lokacije korisnika, povijest pretraživanja, dob, spol, identitete na društvenim mrežama, čak i osobne podatke o dostavi. Tri mjeseca kasnije, Avast je zatvorio podružnicu Jumpshot zbog istražnih izvještaja u kojima je dokumentirana prodaja osobnih podataka od oko 100 milijuna korisnika, a sve stečeno nepropisnim nadzorom korisnika.

Tim iz SafetyDetectivesa je pažljivo razmotrio našu odluku da uklonimo Avast sa naše web stranice tijekom sljedećih nekoliko tjedana. Na kraju krajeva, svaka tvrtka koja se suoči s tako teškim optužbama gubi naše povjerenje i ne može dobiti naš pečat odobrenja.

Evo kako je Avast navodno špijunirao svoje korisnike tijekom proteklih 7 godina

Wladimir Palant — osnivač Adblock Plusa — bio je prva osoba koja je oglasila alarm glede Avast-ove predatorske prakse. U listopadu 2019. godine, objavio je inkriminirajuće podatke na svom blogu sa detaljnim objašnjenjem, kako tvrdi, da je Avast uspio “prenijeti podatke koji omogućuju rekonstrukciju vaše čitave povijesti web preglednika i većeg dijela vašeg pregledavanja”.

U osnovi, Avastove i AVGove Online Security ekstenzije su bilježile svaki klik svojih korisnika — dokumentirajući koje web stranice se posjećuju, kada i odakle. Iako je Avast tvrdio da je prikupljanje podataka neophodan dio Online Security plugin-a, izgledalo je da ekstenzije preglednika konkurentskih brendova dobro funkcioniraju bez prikupljanja i zadržavanja tako velike količine osobnih podataka.

Potom je uslijedilo otkriće da se ovi podaci prodaju velikim korporativnim klijentima, kao što su Home Depot, Google i Pepsi, putem Avastove podružnice pod imenom Jumpshot.

Avastova podružnica je prodavala korisničke podatke za milijune dolara

Avast je 2013. godine kupio Jumpshot, tvrtku koja je sakupljala „anonimne“ korisničke podatke i te podatke prodavala online tvrtkama. Javne informacije Jumpshot-a bile su vrlo nejasne, ali oni tvrde da su ostvarili “clickstream podatke od 100 milijuna online kupaca i 40 milijuna korisnika aplikacija”. Izvor Jumpshotovih korisničkih podataka bio je špijunski softver ugrađen u Avast i AVG Internet Security Browser ekstenziju. Palant je bio pokretačka snaga ovog otkrića, ali ekser u Jumpshot-ovom lijesu zadao je ovaj članak iz VICE Motherboard magazina, objavljen početkom 2020. godine. U njemu su navedene korporacije koje su kupovale podatke od Jumpshota, zajedno sa svjedočenjima zviždača i procurenim internim dokumentima tvrtki Avast i Jumpshot. Jumpshot tvrdi da podaci koje su prodavali nisu sadržavali nikakve „osobne identifikacijske podatke“, ali mnogi stručnjaci nisu bili uvjereni u to.

Prema istrazi, podaci Jumpshot-a sadržavali su svaki klik izveden od strane korisnika Avast Online Security, zajedno s vremenskim oznakama (točnim u milisekunde), zemljom, gradom i poštanskim brojem iz korisničkih IP adresa. Palant je otkrio da algoritam koji je osmišljen da cenzurira podatke poput adresa e-pošte i profila društvenih mreža ozbiljno ne funkcionira — u paketima podataka koje je Jumpshot prodavao bili su uključeni svi podaci o slanju od poštanskih prijevoznika, uključujući imena i kućne adrese.

Američki senatori i istraživački novinari optužili su Avast

Senator iz Oregon-a Ron Wyden, poznati zagovornik cyber sigurnosti, neutralnosti mreže i digitalne privatnosti javno je prozvao Avast u prosincu 2019. godine, navodeći na Twitteru: „Amerikanci očekuju da softver za cyber-sigurnost i privatnost štiti njihove podatke, a ne da ih prodaje trgovcima. Gledam u ovo zabrinjavajuće izvješće o Avastu i njegovom neuspjehu da zaštiti korisničke podatke”.

Potom, nakon što je uklonjen iz Chrome, Mozilla i Opera web trgovina, Avast je imao priliku da prestane kršiti privatnost i počne se ponašati poput ugledne tvrtke za cyber sigurnost. Promijenili su postavke privatnosti Online Security ekstenzije za preglednike koja je zatim vraćena na web trgovine krajem prosinca. No, kako otkriva VICE Motherboard, oni su jednostavno premjestili sakupljanje podataka u glavni antivirusni paket, ugradivši opcionalno pitanje o prikupljanju podataka tijekom postupka instalacije.

Objavljivanjem VICE Motherboard članka i suočeni sa jednoglasnim neodobravanjem javnosti, Avast je konačno u veljači 2020. godine potpuno zatvorio Jumpshot. Ali za SafetyDetectives i mnoge druge u svijetu cyber sigurnosti to je već bilo premalo i prekasno. Sedam godina tajnog profitiranja na korisničkim podacima ovo čini jednim od najvećih kršenja etike u povijesti antivirusnog softvera.

Zašto je narušavanje etike od strane antivirusnih tvrtki posebno ozbiljno

Antivirusni softver je jedan od najinvazivnijih softvera. Našem antivirusnom softveru dajemo neviđenu količinu pristupa našem sustavu — na njemu su osjetljive datoteke, povijest pregledavanja, financijski podaci, osobne mreže i sve je to vidljivo našem antivirusu. Potpisujemo pravila o privatnosti i korisničke sporazume s pretpostavkom da u legalnom tekstu nema prijevare. Ali kršeći privatnost svojih korisnika na ovaj način, Avast je razorio odnos povjerenja između korisnika i antivirusnih proizvoda širom svijeta. U svijetu ima dovoljno hakerskih prijetnji i invazivnih vlada o kojima brinemo — pružatelji antivirusa ne bi trebali biti još jedna prijetnja sigurnosti korisnika.

Jumpshot je službeno zatvoren, a Avast Online Security se ponovno nalazi na Chrome i Mozilla web trgovinama, sa strožom zaštitom privatnosti. No, činjenica ostaje da je Avast sedam godina neetički profitirao prodajom podataka svojih korisnika i jedino što ih je zaustavilo jeste građanska reportaža Wladimira Palanta i istraživačkih novinara iz VICE Motherboard magazina. Prema našem mišljenju, da neovisni profesionalci nisu pomno dokumentirali ove ozbiljne prekršaje i obavijestili javnost, Avast bi i dalje radio ovu prijevaru. Čak se pretpostavlja da je Avast tek ozbiljno razmotrio promjenu svoje prakse nakon što je američki senator stupio u sukob s njima.

Povratne informacije od korisnika su nas inspirirale da uklonimo Avast iz SafetyDetectivesa

Ovdje u SafetyDetectives godinama smo imali drugih problema s Avastom — nakon negativne recenzije, oni su zapravo povukli svoje oglašavanje s naše web stranice. Ipak, uvijek smo se trudili da vam donesemo najbolje proizvode za cyber sigurnost, bez obzira na naše poslovne odnose s tvrtkama koje našu web stranicu čine profitabilnom. Zbog toga smo nastavili uključivati Avast i AVG na naše popise — čak smo ih zadržali kao naš izbor broj 1 za najbolji antivirus za mobilne uređaje:

Zašto je narušavanje etike od strane antivirusnih tvrtki posebno ozbiljno

Međutim, uslijed ovako teškog kršenja privatnosti korisnika koje se događa u posljednjih 7 godina, više ne možemo nastaviti promovirati Avast ili bilo koju od njihovih podružnica (kao što je AVG) na našoj web stranici.

Dugo smo razmatrali ovaj potez. Čak iako mnoge web stranice za recenziju nastavljaju promovirati Avast — i profitirati od toga, mi ih već neko vrijeme polako ukidamo sa naših popisa. Krajnja motivacija za nas bile su sve povratne informacije koje smo dobili od naših čitatelja sa porukama tipa: “Nakon incidenta s AVASTom oko prodaje podataka, ovaj softver ne bi smio dobiti nikakvu pozitivnu recenziju ili preporuku”.

U potpunosti se slažemo. Ovakva vrsta povrede privatnosti bi trebala biti uznemirujuća za svakoga tko vjeruje u osnovna ljudska prava. Zato je toliko važno da korisnici računara budu u toku ovih dešavanja i da zaštite svoje računare sa pouzdanim antivirusnim softverom.

Jako je važno suprotstaviti se velikim tvrtkama kada krše naša prava, čak iako to često nije lako ili popularno za izvesti. SafetyDetectives je osnovan sa namjerom da ljudima širom svijeta pruži alate za zaštitu njihovih podataka u digitalnom dobu — za zaštitu od hakera, neetičnih vlada, pa čak i grabežljivih tvrtki za cyber sigurnost, kao što je Avast, koje su svijetu pokazale koliko malo im je stalo do njihovih korisnika.

Iako se Avast vratio na mnoge veće web trgovine, a većina njihovih 400 milijuna korisnika i dalje koristi ovaj softver, neznajući za ove etičke povrede, mi u SafetyDetectives timu smo ponosni što čvrsto stojimo u našim uvjerenjima.

Pa, ako se pitate zašto se na našoj web stranici ne spominju Avast ili AVG, to je razlog zašto.

Ako vam je potreban antivirus koji neće krasti vaše podatke i prodavati ih Pepsi-ju, provjerite naš popis najboljih antivirusnih softvera za 2020. godinu.

O autoru

Ben Martens
Ben Martens
Cybersecurity journalist

O autoru

Ben Martens je novinar za cyber sigurnost sa iskustvom u internetskoj etici, testiranju zlonamjernog softvera i javnoj politici. Živi u Oregonu, a kada se ne zalaže za prava internet korisnika, šeta sa svojim psom i izmišlja priče sa svojom kćerkom.