Avast, nổi tiếng với nghiên cứu bảo mật và ứng dụng diệt virus, từ lâu đã cung cấp các tiện ích mở rộng cho Chrome, ứng dụng di động và các công cụ khác nhằm tăng cường quyền riêng tư.
Avast: Ngụy trang bảo mật, thực chất thu thập và bán dữ liệu người dùng
Các ứng dụng của Avast sẽ “chặn các cookie theo dõi gây phiền nhiễu thu thập dữ liệu về hoạt động duyệt web của bạn” và ngăn các dịch vụ web “theo dõi hoạt động trực tuyến của bạn”. Nằm sâu trong chính sách bảo mật của mình, Avast cho biết thông tin mà họ thu thập sẽ “vô danh và tổng hợp”. Trong tuyên bố hùng hồn nhất, phần mềm trên máy tính để bàn của Avast tuyên bố sẽ ngăn chặn “hacker kiếm tiền từ các tìm kiếm của bạn”.
Mặc dù Avast quảng cáo các công cụ bảo mật và tăng cường quyền riêng tư, nhưng thực tế từ năm 2014 đến 2020, họ đã thu thập thông tin duyệt web của người dùng và bán nó cho hơn 100 công ty khác thông qua một tổ chức đã ngừng hoạt động có tên Jumpshot, theo Ủy ban Thương mại Liên bang Hoa Kỳ (FTC).
Dữ liệu không hề ẩn danh
Theo một phán quyết gần đây của FTC (dưới dạng PDF), Avast sẽ phải nộp phạt 16,5 triệu đô la, số tiền này “dự kiến sẽ được sử dụng để bồi thường cho người tiêu dùng”, theo FTC. Avast cũng bị cấm bán dữ liệu duyệt web trong tương lai, phải có sự đồng ý rõ ràng về việc thu thập dữ liệu trong tương lai, thông báo cho khách hàng về việc bán dữ liệu trước đó và thực hiện “chương trình bảo mật toàn diện” để giải quyết hành vi trước đó.
Khi được liên lạc để yêu cầu bình luận, Avast đã cung cấp một tuyên bố lưu ý rằng công ty đã đóng cửa Jumpshot vào đầu năm 2020. “Chúng tôi cam kết thực hiện sứ mệnh bảo vệ và nâng cao quyền lực cho cuộc sống kỹ thuật số của mọi người. Mặc dù chúng tôi không đồng ý với cáo buộc và mô tả sự thật của FTC, chúng tôi hài lòng về việc giải quyết vấn đề này và mong muốn tiếp tục phục vụ hàng triệu khách hàng trên khắp thế giới”, tuyên bố cho biết.
Theo khiếu nại của FTC (dưới dạng PDF), sau khi mua lại Jumpshot – một công ty chống virus cạnh tranh vào đầu năm 2014, Avast đã đổi thương hiệu thành công ty bán dữ liệu phân tích. Jumpshot quảng cáo rằng họ cung cấp “thông tin chi tiết độc đáo” về thói quen của “hơn 100 triệu người tiêu dùng trực tuyến trên toàn thế giới”. Điều này bao gồm khả năng “[xem] khán giả của bạn đi đâu trước và sau khi họ truy cập trang web của bạn hoặc trang web của đối thủ cạnh tranh, và thậm chí theo dõi những người truy cập một URL cụ thể”.
Mặc dù Avast và Jumpshot tuyên bố rằng dữ liệu đã loại bỏ thông tin nhận dạng, FTC cho rằng điều này “không đủ”. Dịch vụ của Jumpshot bao gồm một mã định danh thiết bị duy nhất cho mỗi trình duyệt, được bao gồm trong dữ liệu như “Nguồn cấp tất cả nhấp chuột”, “Nguồn cấp tìm kiếm cộng với nhấp chuột”, “Nguồn cấp giao dịch” và hơn thế nữa. Khiếu nại của FTC nêu chi tiết cách các công ty khác nhau mua các nguồn cấp dữ liệu này, thường nhằm mục đích kết hợp chúng với dữ liệu riêng của công ty, xuống mức từng người dùng. Một số hợp đồng của Jumpshot đã cố gắng cấm việc xác định lại người dùng Avast, nhưng “những hạn chế đó bị hạn chế”, khiếu nại cho biết.
Sự liên kết giữa Avast và Jumpshot được công khai rộng rãi vào tháng 1 năm 2020, sau khi các bài báo của Vice và PC Magazine tiết lộ rằng các khách hàng, bao gồm Home Depot, Google, Microsoft, Pepsi và McKinsey, đã mua dữ liệu từ Jumpshot, theo các hợp đồng mật. Dữ liệu thu được bởi các ấn phẩm cho thấy người mua có thể mua dữ liệu bao gồm tìm kiếm Google Maps, các trang LinkedIn và YouTube cá nhân, trang web khiêu dâm, v.v. “Nó rất chi tiết và là dữ liệu tuyệt vời cho các công ty này, dữ liệu được thu thập bởi Jumpshot có thể được xác định lại với độ chính xác cao.
Khiếu nại của FTC cung cấp thêm chi tiết về cách Avast, trên các diễn đàn web của riêng mình, cố gắng giảm nhẹ sự hiện diện của Jumpshot. Avast cho rằng chỉ có dữ liệu không tổng hợp được cung cấp cho Jumpshot và người dùng được thông báo trong quá trình cài đặt sản phẩm về việc thu thập dữ liệu để “hiểu rõ hơn về các xu hướng mới và thú vị”. Cả hai tuyên bố này đều không đúng sự thật, FTC gợi ý. Và dữ liệu thu thập được xa mới vô hại, vì bản chất có thể xác định lại của nó:
Ví dụ này chỉ là một phần nhỏ xíu trong số hàng tỷ dữ liệu mà các nhà nghiên cứu đã thu thập. Họ chỉ chọn ngẫu nhiên 100 mục để nghiên cứu. Trong số đó, có những trang web mà người dùng đã truy cập về một bài báo học thuật nghiên cứu về các triệu chứng của bệnh ung thư vú, thông tin về việc Elizabeth Warren chạy đua vào cuộc bầu cử Tổng thống, hoặc các công việc chính phủ tại một thành phố có mức lương cao. Có cả các trang web giáo dục về hỗ trợ tài chính hoặc hướng dẫn điều hướng trên Google Maps. Điều này chỉ là một phần nhỏ của những gì người ta có thể truy cập trên internet.
Trong một bài đăng trên blog kèm theo thông báo, Luật sư Cấp cao của FTC, Lesley Fair viết rằng, ngoài bản chất kép của các sản phẩm bảo mật của Avast và việc theo dõi rộng rãi của Jumpshot, FTC ngày càng coi dữ liệu duyệt web là “thông tin cực kỳ nhạy cảm đòi hỏi sự quan tâm tối đa”. “Nó không chỉ là một tài sản doanh nghiệp mà còn là thông tin cá nhân có thể được sử dụng để theo dõi và nhắm mục tiêu người dùng”, Fair viết. Ủy viên FTC bỏ phiếu nhất trí 3-0 để ban hành khiếu nại và chấp nhận thỏa thuận đồng ý đề xuất. Chủ tịch Lina Khan, cùng với các ủy viên Rebecca Slaughter và Alvaro Bedoya, đã đưa ra tuyên bố về lá phiếu của họ. Kể từ thời điểm khiếu nại của FTC và hoạt động kinh doanh Jumpshot của nó, Avast đã được Gen Digital mua lại, một công ty sở hữu Norton, Avast, LifeLock, Avira, AVG, CCleaner và ReputationDefender, cùng với các doanh nghiệp bảo mật khác.
Các bạn có thể góp ý để bài viết trở nên tốt hơn, hãy để lại những ý kiến của mình ở phần bình luận nhé.