Leak enthüllt: Avast-Nutzerdaten wurden verkauft

[English]Ein geleaktes Dokument enthüllt wohl, dass eine Tochtergesellschaft des Avast-Antivirusherstellers von seiner Software gesammelte Nutzerdaten (Suche, Klicks, Käufe etc.) an Kunden verkauft hat. Ergänzung: Eine Stellungnahme von AVAST wurde angefügt.


Anzeige

Beim Namen Avast klingelt bei mir sofort etwas im Hinterkopf. Im Dezember 2019 hatte ich den Beitrag Addons von AVG/AVAST im Firefox blockiert/entfernt veröffentlicht. Die Mozilla-Entwickler hatten die Addons der Antivirus-Anbieter AVG und AVAST im Firefox blockiert bzw. aus dem Store entfernt. Der mögliche Grund: Die Addons dieses Anbieters (AVAST) haben wohl private Daten weitergegeben. Die Addons sind zwar zurück, aber die Info bliebt hängen. Dann gab es Hinweise, dass Avast HTTPS-Verbindungen aufbricht und die Inhalte analysiert. Und es gab Hinweise auf Cyber-Angriffe bei Avast sowie eine Malware-Infektion beim CCleaner. Wer im Blog nach Avast sucht, wird auf viele Artikel zu Pleiten, Pech und Pannen stoßen.

Avast-Tochter verkauft Nutzerdaten

Vor wenigen Stunden bin ich dann bei Medium auf den Artikel Leaked Documents Expose the Secretive Market for Your Web Browsing Data gestoßen. Eine Tochter des Herstellers eines Antivirenprogramms, das auf Hunderten von Millionen Systemen verwendet wird, verkauft hochsensible Browser-Daten seiner Nutzer an Dritte. Zu den Käufern gehören viele der größten Unternehmen der Welt, wie Home Depot, Google, Microsoft, Pepsi und McKinsey.

Aufgedeckt wurde dies durch eine gemeinsame Untersuchung von Motherboard und PCMag. Der Bericht stützt sich auf durchgesickerte Benutzerdaten, Verträge und andere Unternehmensdokumente, die zeigen, dass der Verkauf dieser Daten sowohl hochsensibel ist als auch in vielen Fällen zwischen dem Unternehmen, das die Daten verkauft, und den Kunden, die sie kaufen, vertraulich bleiben soll.

Avast-Produkte sammeln Daten, Jumpshot verkauft diese

Die Dokumente, die von der Tochtergesellschaft Jumpshot des Antiviren-Anbieters Avast stammen, werfen ein neues Licht auf die geheimen Verkaufs- und Lieferketten des Anbieters.

  • Die Dokumente, so Motherboard, zeigen, dass das das installierte Antivirenprogramm von Avast Daten über das  Surfverhalten der Benutzer sammelt.
  • Die Dokumente zeigen auch, dass Jumpshot diese Daten in verschiedene Produkte einpflegt, um diese dann weltweit an Unternehmen zu verkaufen.

Zu den früheren, gegenwärtigen und potenziellen Jumpshot-Kunden gehören Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit und viele andere Unternehmen. Einige Kunden haben Millionen für Produkte bezahlt, die einen so genannten "All Clicks Feed" enthalte. Dieser kann das Nutzerverhalten, die Klicks und die Bewegungen auf den Websites mit hoher Genauigkeit verfolgen.

Komplette Online-Aktivitäten erfasst

Die von Motherboard und PCMag eingesehenen Daten umfassen Google-Suchanfragen, das Nachschlagen von Standorten und GPS-Koordinaten auf Google Maps, Personen, die die LinkedIn-Seiten von Unternehmen besuchen, bestimmte YouTube-Videos und Personen, die Pornowebsites besuchen. Aus den gesammelten Daten lässt sich feststellen, an welchem Datum und zu welcher Uhrzeit der anonymisierte Benutzer YouPorn und PornHub besucht hat, und in einigen Fällen, welchen Suchbegriff er auf der Pornoseite eingegeben und welches bestimmte Video er sich angesehen hat.

Anonyme Daten erlauben Nutzer zu identifizieren

Obwohl die Daten keine persönlichen Informationen wie z.B. die Namen der Benutzer enthalten, weisen sie doch eine Fülle spezifischer Browser-Daten auf. Zwar sind die Daten formal anonymisiert. Aber ich hatte im gestrigen Artikel Datenschutz unterlaufen: Wie Apps uns legal ausspionieren schon darauf hingewiesen, dass sich diese Daten auch deanonymisieren lassen. PC-Mag weist hier darauf hin die Datensätze mit einer Geräte-ID (Device ID) versehen sind. Zusammen mit dem Datum und den Daten, die sich dieser ID zuordnen lassen, kann die Identität eines Benutzers aufgedeckt werden.

PCMag und Motherboard haben die Einzelheiten der Datenerfassung von einer Quelle, die mit den Produkten von Jumpshot vertraut ist, erfahren. Datenschutzexperten, mit denen die beiden Magazine sprachen, bestätigten, dass die Zeitstempel in den Daten sowie die persistenten Geräte-IDs zusammen mit den gesammelten URLs analysiert werden können, um die Identität einer Person aufzudecken.


Anzeige

"Die meisten Bedrohungen, die von der Deanonymisierung (also Aufdeckung der Identität der Person) ausgehen, ergeben sich aus der Möglichkeit, die Informationen mit anderen Daten zusammenzuführen", wird Gunes Acar, ein Datenschutzforscher, der sich mit Online-Tracking beschäftigt, in den Artikeln zitiert. Acar weist darauf hin, dass große Unternehmen wie Amazon, Google und Markeneinzelhändler und Marketingfirmen ganze Aktivitätsprotokolle über ihre Nutzer anhäufen können. Mit den Daten von Jumpshot haben die Unternehmen eine weitere Möglichkeit, den digitalen Fußabdruck der Nutzer im Internet zu verfolgen.

Jumpshot warb mit tiefen Einblicken

In einer Pressemitteilung vom Juli 2019 wirbt Jumpshot damit, "das einzige Unternehmen zu sein, das die Daten aus dem sogenannten "walled garden" freisetzen kann. Das Unternehmen verspricht "Vermarktern einen tieferen Einblick in die gesamte Online-Aktivitäten der Kunden zu geben". Jumpshot hat Kunden wie Expedia, IBM, Intuit (TurboTax), Loreal und Home Depot. Die Mitarbeiter sind angewiesen, nicht öffentlich über die Beziehungen von Jumpshot zu diesen Unternehmen zu sprechen.

Datensammelei soll weitergehen

Dem Bericht von Motherboard nach ist die Sammlung von Daten jedoch noch nicht abgeschlossen. Das schließt man aus Informationen der Quelle sowie aus vorliegenden Dokumenten. Anstatt die Informationen über eine an den Browser angeschlossene Software zu sammeln, macht Avast dies jetzt über die Antiviren-Software selbst.

Vor einigen Tagen, Monate, nachdem entdeckt wurde, dass es mit seinen Browser-Erweiterungen Daten an Jumpshot sendet, begann Avast laut einem internen Dokument seine bestehenden Konsumenten der kostenlosen Antiviren-Software zu bitten, sich für die Sammlung von Daten zu entscheiden. Wer dem zugestimmt hat, wurde danach getrackt.

Klingt danach, dass die Fans, die auf AVAST gesetzt haben, und der Meinung waren, vor Bedrohungen und Ausspähung geschützt zu sein, aufs falsche Pferd gesetzt haben. Denn am Ende des Tages wurden sie ziemlich über den Tisch ge- und datenmäßig ausgezogen. Weitere Details lassen sich bei Motherboard und beim PCMag nachlesen. Übrigens, wir haben den 28.1., europäischer Datenschutz-Tag.

Stellungnahme von AVAST

Von der AVAST-Pressebetreuung ist mir, wie anderen Bloggern, eine Stellungnahme zugegangen, die ich der Vollständigkeit halber 1:1 und unkommentiert hier wiedergebe.

„Wir haben im Dezember 2019 schnell gehandelt, um unsere Browser-Extensions zu aktualisieren, die jetzt mit den Anforderungen der Browser konform sind. Gleichzeitig haben wir in unseren Browsererweiterungen jede Art der Datenerhebung eingestellt, die nicht für die Sicherheitsfunktionen notwendig ist, und geben durch die Browser-Extensions gesammelte Daten nicht mehr an unsere Tochtergesellschaft Jumpshot weiter."

 „Wir stellen sicher, dass Jumpshot keine persönlichen Daten wie Name, E-Mail-Adresse oder Kontaktdaten erhält, die eine Person identifizieren könnten. Nutzer hatten bisher die Möglichkeit, der Weitergabe von Daten mit Jumpshot per Opt-out zu widersprechen. Seit Juli 2019 implementieren wir ein Opt-in-Verfahren für alle neuen Downloads unserer Antivirus-Lösungen. Zudem fordern wir alle bestehenden Nutzer unserer Gratis-Antiviren-Versionen auf, eine Opt-in- oder Opt-out-Wahl zu treffen. Dieser Prozess wird im Februar 2020 abgeschlossen sein.

Unsere Datenschutzrichtlinie beschreibt im Einzelnen die Sicherheitsmaßnahmen, die wir für alle unsere Anwender vornehmen. Innerhalb unserer Produkte können unsere Nutzer auch ihre Privatsphäreneinstellungen anpassen – und dabei auch die Datenweitergabe ein- oder ausschalten.

Wir halten uns freiwillig für alle Nutzer weltweit an die Datenschutzanforderungen der DSGVO und des California Consumer Privacy Act (CCPA). Wir schützen die Geräte unserer Nutzer seit Jahrzehnten vor Cybergefahren und verstehen und nehmen unsere Verantwortung sehr ernst, die Balance zwischen der Privatsphäre unserer Nutzer und der notwendigen Nutzung derer Daten durch unsere Sicherheitsprodukte zu halten."

Ähnliche Artikel:
Addons von AVG/AVAST im Firefox blockiert/entfernt
Firefox Addons von AVG/AVAST wieder im Store
Avast 'spioniert' HTTPS-Verbindungen aus
Abbis: AVAST wehrt Cyber-Angriff auf Netzwerk ab
Avast Free Antivirus: Lizenz lässt sich nicht verlängern
AVAST CCleaner 5.45 und die Telemetrie
Vorsicht vor CCleaner – AVAST als PUP im Beifang
CCleaner Malware – weitere Analysen von AVAST


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Virenschutz abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Leak enthüllt: Avast-Nutzerdaten wurden verkauft

  1. 1ST1 sagt:

    Pfuiteufel… Merke, kostenlose Antivierensoftware (Avast Free) ist nicht kostenlos, und wer für das Schlangenöl auch noch bezahlt, wird trotzdem am Dateneuter gemelkt. (Notitz an mich selbst: "Dateneuter melken" sollte ich mir schützen lassen…)

    Jetzt würde mal interessieren, wie die anderen Hersteller von Schlangenöl mit dem Thema umgehen.

    • ExGeheimdienstler sagt:

      Kommt darauf an wie du Avast nutzt. Wer das Modul für die Analyse des HTTPS-Traffic installiert und die Browser-Erweiterung ist halt leider ein leichtes Opfer :(

      Ich habe sie nie installiert und Bekannte auch nicht. Nur Dateisystemschutz läuft als einziges Modul. Auch wenn ich nicht glaube, dass es mehr hilft als der Defender. Schlangenöl war schon immer Placebo.

      Was ich sagen will: Man kann Avast auch nutzen ohne seine Daten zu verschenken.

      • Günter Born sagt:

        'Man' ist das falsche Attribut – einige wenige können es, müssen aber immer auf der Hut sein, dass die Prämisse von gestern auch morgen noch stimmt. Die Daten werden ja bei jedem AV-Programm übertragen (auch beim MSE/Defender). Man muss halt vertrauen, dass die beim Anbieter sicher sind und nicht verkauft werden. Rechtlich hilft die DSGVO gegen Heimlichkeiten, aber gegen Fehler und Vorsatz ist kein Kraut gewachsen.

    • Ralf Lindemann sagt:

      … Pfuiteufel, ja …, aber im Ernst: Jeder, der es wissen wollte, konnte es wissen. Avast hat nie ein Geheimnis daraus gemacht, dass Nutzerdaten gesammelt werden, auch um diese mit „Partnerunternehmen" zu teilen und zu kommerzialisieren. Insbesondere, was das Browser-Plugin betrifft, war informierten Avast-Nutzern immer klar, dass man es aus Datenschutzgründen nicht verwenden kann. Neu ist, dass man nun nachlesen kann, in welchem Umfang das Kommerzialisieren von Nutzerdaten tatsächlich geschieht. Das sind normalerweise gut gehütete Geschäftsgeheimnisse – jetzt weiß man auch, warum: Das ist schon erschreckend. Auch, dass mittlerweile offenbar über das Brower-Plugin hinaus Avast Antivirus selbst dafür eingesetzt wird, Data-Mining zu betreiben. Krass – auch vor dem Hintergrund, dass Avast (ich meine, seit Anfang 2018) einen Keyboard Filter Treiber (aswKbd.sys) mitbringt, der „Tastatureingaben aufzeichnen kann" (https[:]//www.file.net/prozess/aswkbd.sys.html). Ich persönlich würde eine aktuelle Avast-Version nicht mehr verwenden.

  2. Termie sagt:

    "Die Addons dieses Anbieters (Avast) haben wohl private Daten weitergegeben" – jetzt frage ich mich gerade, ob dieses Dr*cksteil o h n e installierte AddOns auch irgendwas gesammelt hat? Habe im Prinzip nur das [Dateischutz]-Modul aktiviert.

    Und was könnte man jetzt am besten als Alternative hernehmen? MS Defender? Ôô

    • Gerd005 sagt:

      Eine Kauf-Software? Nicht dass das allein für Sicherheit garantieren könnte, aber wenn ich für das Produkt bezahle, stehen die Chancen besser, dass ich nur Kunde bin und nicht auch Ware. Zu Windows-Zeiten habe ich zuletzt auf Kaspersky gesetzt: die können sich kaum Heimlichkeiten erlauben, weil sonst ganz schnell jemand mit dem Finger auf die bösen Russen zeigt, wenn er das herausfindet.

      Aber selbst die Kaspersky-Software muss man sich bei der Installation und in regelmäßigen Zeitabständen genau angucken: Da gibt es zum einen die Community-Option, mit der man Daten freigibt (natürlich nur, damit neue Malware schneller erkannt wird), und es gibt die standardmäßig aktivierte Marketingoption. Vor ein paar Jahren gab es dafür auch heftig Kritik (siehe oben), als die Marketingoption etwas zu still und zu heimlich eingeführt wurde.

  3. Ärgere das Böse! sagt:

    Avast Free ist auf Huawei Spyware-Phones vorinstalliert, evt. nicht auf allen. Bei mir habe ich das Zeug deinstalliert.

  4. Steter Tropfen sagt:

    Das ist vergleichbar mit den Leibwächtern im realen Leben, die intime Details aus dem Leben ihres Schützlings mitbekommen – und eines Tages an die Boulevardpresse verkaufen.

    Konkret stelle ich mir aber folgende Fragen:
    • Inwieweit schützt eine angepasste, minimale Installation (ohne die ganzen Web-Schutzmodule, dafür alle „Übermittlung von Nutzerdaten"-Optionen deaktiviert?
    • Verhindern AdBlocker oder andere Browser-Anpassungen das von Jumpshot betriebene Tracking des Surfverhaltens?
    • Sind die Firmen, die das erschlichene Datenmaterial nutzen, nicht ebenso anzuprangern?
    • Gibt es überhaupt „saubere" Alternativen oder hat man nur die Wahl zwischen Pest und Cholera?

  5. Nobody sagt:

    Seit Jahren ist hier kein Antivirus-Tool installiert und es gab noch nie Probleme.

    • 1ST1 sagt:

      Garkeins? Linux? (Und selbst da sollte man wenigstens den ClamAV mit laufen lassen!)

      • Nobody sagt:

        Bin mit Windows 7, SP1 seit Jahren ohne Antivirus Tool zugange.
        Selbst der Defender ist abgeschaltet.
        Vor einigen Tagen habe ich mal testweise eine Tiefenprüfung mit dem ESET Online Scanner durchgeführt. Es wurde eine Bedrohung gefunden. Dabei handelt es sich um eine harmlose von mir erstellte Batchdatei, die die Ereignisprotokolle löscht.

  6. Uwe sagt:

    Zitat
    Dateneuter melken

    … schützen lassen …
    Zitat Ende

    Das wird nicht gehen … Eine Marke muss entweder ein Produkt oder eine Dienstleistung sein. Musste mich da selbst dazu schlau machen. Weil eine Marke Warengruppen zugeordnet werden muss.

  7. Vendoree123 sagt:

    Ein „bisschen" wird ist es ja wohl insgesamt mit sogenannt „kostenlos" (mit bis zu schwindelerregenden jährlichen Umsätzen) hausgemacht sein, dennoch wären/ sind Grenzen bei der Privatsphäre einzuhalten und deshalb, sehr gut. dass es Sicherheitsforscher / –firmen /… gibt, welche sich dem Problem widmen.
    Zumindest wo es eine Wahlmöglichkeit gibt und wer da meint, es hat seinen Sinn und kann es sich leisten, …
    Die Grenzen mögen fließend, Interessen selbst vom selben Subjekten gegensätzlich sein. Ein Katz und Maus – Spiel, vlt.
    Es sollte auch ein Stück weit Nutzerverantwortung sein, wohin sich das Ganze entwickeln wird. Derartige Berichte geben diesbezüglich zwar Zuversicht, doch dennoch …

    Bei der Gelegenheit beiläufig tangierend angemerkt zu den ab und an mehr oder weniger häufig anzutreffenden Argumentationen mit sogenannt „kostenlos":
    Sprichwörtlich werden auch hier zumindest im kleinen Stil Ausnahmen die Regel bestätigen, die Regel wird jedoch sein, ein „kostenlos" gibt es nicht.
    Bspw. Sparten im bis zu sehr großen Stil, welche werbefinanziert laufen, werden letztlich durch den Endverbraucher bezahlt mit anderen Gütern/ Dienstleistungen.
    Da wächst nichts an Dollars, an Euros, an etc. auf den Bäumen.

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.