Avast botrány: Miért nem ajánljuk már az Avast-ot és az AVG-t?

Ben Martens
Közzétéve ekkor: 2020. április 17.
Avast botrány: Miért nem ajánljuk már az Avast-ot és az AVG-t?

Olvasóink sokszor kérdezték tőlünk mostanában, hogy miért szerepeltetjük továbbra is az Avast-ot és az AVG-t a különböző rangsorainkban még annak ellenére is, hogy súlyos adatvédelmi botrányba keveredtek. Nos, hosszas tanakodást és részlegeken átívelő vitákat követően úgy döntöttünk, hogy eltávolítjuk őket oldalunkról.

Miért? Mert az AVG-t is birtokló Avast-ot súlyos vádak érték az elmúlt hónapokban, melyek szerint teljesen etikátlan üzleti praktikákat alkalmaztak.

Az Avast Online Security névre hallgató bővítményt 2019 decemberében törölték a Mozilla, a Chrome és az Opera letölthető bővítményeket kínáló áruházából, miután sokan állították, hogy gyanúsan sok adatot gyűjtött felhasználóiról. Nem elég, hogy a meglátogatott webhelyek listáját, de még a felhasználó tartózkodási helyét, keresési előzményeit, korát, nemét, közösségi oldalakon használt azonosítóit, sőt még szállítási adatokat is gyűjtött a program. Három hónappal ezután az Avast leállította a Jumpshot névre hallgató leányvállalatát, miután nyilvánosságra jutott, hogy 100 millió felhasználó jogosulatlan megfigyeléssel összegyűjtött adatait értékesítették.

Alapos megfontolt döntést hozott a SafetyDetectives csapata, miszerint az elkövetkező hetek során eltávolítjuk webhelyünkről az Avast minden nyomát. Nem támogatunk egy olyan céget, amelyet ennyire súlyos vádak értek, így az Avast-ot sem ajánljuk többet nyugodt szívvel.

A vádak szerint az Avast így kémkedett felhasználói után 7 évig

Legelsőként az Adblock Plus megalapítója, Wladimir Palant hozta nyilvánosságra az Avast tisztességtelen praktikáit. 2019 októberében részletesen ismertette blogján, hogy szerinte az Avast milyen módszerekkel képes a teljes böngészési előzményeink és böngészési szokásaink jelentős részének rekonstruálására alkalmas módon adatokat továbbítani.

A dolog lényege, hogy az Avast és az AVG Online Security bővítményei rögzítették felhasználóik minden egyes kattintását és minden tevékenységét – vagyis hogy honnan, mikor és milyen webhelyeket látogattak meg. Az Avast ugyan váltig állította, hogy az Online Security bővítménynek szükséges része az adatgyűjtés, a konkurens márkák hasonló bővítményei azonban tökéletesen működtek anélkül, hogy ilyen mennyiségű személyes adatot gyűjtöttek volna felhasználóikról.

Aztán jött az információ, hogy ezt a rengeteg adatot az Avast a Jumpshot nevű leányvállalatán keresztül értékesítette olyan nagyvállalatoknak, mint a Home Depot, a Google és a Pepsi.

Az Avast leányvállalata dollármilliókért értékesített felhasználói adatokat

Az Avast 2013-ban felvásárolta az “anonim” felhasználói adatok gyűjtésére, összegzésére és eladására specializált Jumpshot-ot. Erről a cégről nyilvánosan igen keveset lehetett tudni – mindössze annyit, hogy “100 millió online vásárló és 40 millió mobilapp-felhasználó összesített adataihoz jutottak hozzá”. A Jumpshot által összegyűjtött felhasználói adatok tényleges forrása az Avast és az AVG Online Security bővítményeiben elrejtett kémprogram volt. Palant volt a vizsgálódás fő vezetője, azonban a Jumpshot koporsójába igazából ez a 2020 elején publikált VICE Motherboard cikk vetette az utolsó szöget. Ebben felsorolták az összes olyan céget, amely a Jumpshot-től vásárolt adatokat, valamint besúgók információi, illetve a két cégtől kiszivárgott belső dokumentumok is igazolták az adatlopás tényét. Hiába magyarázkodott a Jumpshot, hogy egyedi személyazonosságot igazoló adatokat nem adtak el, ez a szakértők jó részét nem győzte meg.

A vizsgálatok eredményeképp kiderült, hogy a Jumpshot adataiban ezredmásodperces pontossággal szerepelt az Avast Online Security felhasználói által végzett minden egyes kattintás, ráadásul ezek mellett országra, városra, irányítószámra és IP-címekre vonatkozó adatok is szerepeltek. Az e-mail címeket és közösségi profilokat cenzúrázó algoritmusról kiderült, hogy súlyos hiányosságokkal küzd – a Jumpshot által értékesített adatcsomagokban szerepeltek teljes szállítási adatok (nevekkel és lakcímekkel együtt) is.

Oknyomozó újságírók és az Egyesült Államok szenátusa felelősségre vonja az Avast-ot

Ron Wyden, a kiberbiztonságért, internetsemlegességért és digitális adatvédelemért küzdő oregoni szenátor 2019 decemberében az alábbi nyilatkozatot tette Twitter-en: “Az amerikaiak azt várják el a kiberbiztonsági és adatvédelmi termékektől, hogy megvédjék adataikat, nem pedig azt, hogy eladják azokat. Utánanézek az Avast-tal és az adatvédelmi hiányosságaikkal kapcsolatban megjelent aggasztó híreknek.”

Miután a Chrome, a Mozilla és az Opera webáruházából is eltűnt a bővítmény, az Avast-nak lett volna egy esélye arra, hogy tisztességesen működő kiberbiztonsági cégként viselkedve felhagyjanak adatsértő praktikáikkal. Azonban nem ezt tették – a december végén visszakerült bővítményben ugyan már nem volt benne az adatgyűjtésért felelős kémprogram, viszont amint a VICE Motherboard cikk leleplezte, az átkerült a fő vírusvédelmi termékbe. Itt telepítés közben jelent meg egy, az adatgyűjtésbe történő beleegyezésre szolgáló kérdés.

A VICE Motherboard cikk megjelenését és a köznép felháborodását követően 2020 februárjában az Avast végre teljesen beszüntette a Jumpshot tevékenységét. Azonban sok kiberbiztonsági szakértőnek, így nekünk is már túl késő. 7 éven át profitáltak felhasználók adataiból, így ez az egyik legsúlyosabb etikai vétség a vírusirtó szoftverek történelmében.

Miért különösen súlyosak a vírusirtók gyártói által elkövetett etikai vétségek?

A vírusirtók általában igen mélyre hatolnak gépünkben – olyan szintű rendszerhozzáférést kapnak, amelyre igen kevés más jellegű szoftvert lehet példának felhozni. Hozzáférhetnek például kényes adatainkhoz, személyes fájljainkhoz, böngészési előzményeinkhez, pénzügyi adatainkhoz, valamint otthoni hálózatunkról is sokat megtudhatnak. Azzal a feltételezéssel egyezünk bele adatvédelmi és felhasználói szabályzataikba, hogy a nagy mennyiségű, jogi szakkifejezésekkel tömött szabályzatokban nem rejtettek el mindenféle megtévesztésre is alkalmas passzusokat. Azonban mivel az Avast visszaélt a felhasználók ilyetén módon a szoftverbe vetett bizalmával, így világszerte mindenütt megrontotta a felhasználók és a vírusirtók közötti viszonyt. Épp elég a különféle hackerek és kormányzati szervek adatlopási kísérletei miatt aggódnunk, nem kell még az is, hogy már a vírusirtók gyártóiban se bízhassunk.

A Jumpshot-ot hivatalosan leállították, az Avast Online Security pedig ismét megtalálható a Chrome és a Mozilla webáruházaiban, immár szigorúbb adatvédelmi beállításokkal. Azonban az tény, hogy 7 évig illetéktelenül gyűjtötték és értékesítették a felhasználóik adatait, melyben csak Wladimir Palant és a VICE Motherboard oknyomozói akasztották meg őket. Szerintünk ha a független szakértők nem buktatták volna le és dokumentálták volna alaposan ezeket a súlyos szabálysértéseket, az Avast továbbra is folytatná ezt a tevékenységet. Még az is lehet, hogy csak azért változtattak most kicsit, mert egy Egyesült Államokbeli szenátor szembesítette őket a vádakkal.

Felhasználóink kértek minket, hogy távolítsuk el őket a SafetyDetectives-ről

A SafetyDetectives-nél az évek során többször is problémásnak találtuk az Avast-ot: például egy negatív értékelést követően levették weboldalunkról az összes hirdetésüket. Ettől függetlenül fontosnak tartottuk, hogy mindig a lehető legjobb kiberbiztonsági termékeket ismertessük Önökkel attól függetlenül, hogy azok velünk milyen viszonyban állnak üzleti szempontból. Ezért továbbra is ajánlottuk az AVG-t és az Avast-ot, ráadásul mobileszközök számára továbbra is első helyezettként ajánlottuk őket:

Miért különösen súlyosak a vírusirtók gyártói által elkövetett etikai vétségek?

Azonban nem hunyhatunk szemet az elmúlt 7 év során folyamatosan zajló adatlopást, így oldalunkon többé nem ajánljuk sem az Avast-ot, sem pedig leányvállalatait, így az AVG-t sem.

Már régóta fontolgattuk ezt. Annak ellenére, hogy rengeteg értékelő webhely továbbra is népszerűsíti az Avast-ot (és ráadásul profitálnak is belőle), mi elkezdtük őket levenni toplistáinkról. Erre főként felhasználóink üzenetei motiváltak minket, mivel például ilyeneket kaptunk: “Az AVAST nem érdemel pozitív értékeléseket és ajánlásokat a mostani adatlopási és -értékesítési botrányuk után.”

Teljes mértékben egyetértünk ezzel. Az ilyen szintű adatsértések felháborítóak bárkinek, aki hisz az alapvető emberi jogokban. Ezért nagyon fontos az is, hogy naprakészek legyünk az ilyen jellegű eseményekkel és valóban megbízható vírusirtót használjunk számítógépeinken.

Lehet, hogy nem éppen népszerű vagy könnyű húzás volt, de nagyon fontos szembeszállni a nagyvállalatokkal, ha azok megsértik a jogainkat. A SafetyDetectives alapelve, hogy világszerte minden olvasónknak segítsünk adataik védelmében – attól függetlenül, hogy azokra hackerek, zsarnokoskodó kormányok, vagy az Avast-ra hajazó, felhasználóikra nagy ívben tojó, átverős kiberbiztonsági cégek pályáznak.
Habár az Avast ismét elérhető a fontosabb webáruházakban, és a 400 milliós felhasználói bázisuk jelentős része továbbra is őket használja az adatsértési botrányt figyelmen kívül hagyva, mi a SafetyDetectives-nél büszkén kiállunk az elveink mellett.

Nos, ezek miatt nem szerepel weboldalunkon sehol sem az Avast vagy az AVG.

Ha pedig olyan vírusirtót keres, amely biztosan nem lopja el adatait és értékesíti tovább a Pepsi-nek, akkor tekintse át 2020 legjobb vírusirtóit.

A szerzőről

Ben Martens
Ben Martens
Cybersecurity journalist

A szerzőről

Ben Martens egy kiberbiztonsági újságíró, aki főleg etikus internethasználattal, kártevők tesztelésével és közpolitikával foglalkozik. Oregonban él, és ha éppen nem az internethasználók jogaiért küzd, akkor kutyájával sétál vagy a lányával együtt meséket írnak.