Avast-skandale: Derfor er vi stoppet med at anbefale Avast og AVG

Ben Martens
Udgivet d.: 17. apr. 2020
Avast-skandale: Derfor er vi stoppet med at anbefale Avast og AVG

Vores læsere har sendt os beskeder og spurgt, hvorfor vi stadig har Avast og AVG på vores hjemmeside, til trods for at de er midt i en alvorlig skandale. Efter en masse overvejelser frem og tilbage mellem vores afdelinger, har vi endelig besluttet at fjerne dem fra alle vores lister.

Hvorfor? Da Avast, som også ejer AVG, er blevet fanget i lidt af en kontrovers i de sidste flere måneder vedrørende alvorlige beskyldninger om uetisk forretningsskik.

Avasts Online Security browserudvidelse blev slettet fra Mozilla, Chrome, og Operas markedspladser i december 2019, efter undersøgelser der viste at den indsamlede en mistænksom mængde af brugerdata. Det var ikke kun oplysninger om de hjemmesider som brugeren besøgte, men også brugerens placering, detaljerede søgehistorik, alder, køn, identitet på de sociale medier og endda personlige forsendelsesoplysninger. Tre måneder senere lukkede Avast et datterselskab, Jumpshot, i kølvandet på efterforskningsrapporter der dokumenterede salg af personoplysninger fra omkring 100 millioner brugere, alt sammen opnået gennem brugerovervågning.

Hos SafetyDetectives har vi overvejet beslutningen om at fjerne Avast fra vores hjemmeside i løbet af de næste par uger. Det skyldes at selskab står over for så alvorlige beskyldninger, at vi har mistet vores tro og vi kan ikke henvise til deres produkter.

Her kan du se hvordan Avast angiveligt har spioneret på sine brugere i løbet af de sidste 7 år

Wladimir Palant, grundlæggeren af Adblock Plus, var den første person der slog alarm omkring Avasts farlige handlinger. I oktober 2019 offentliggjorde han afslørende oplysninger på sin blog, med en detaljeret beskrivelse af hvordan han mener at Avast var i stand til at “overføre data, der giver mulighed for at rekonstruere hele din browserhistorik og meget af din brugsadfærd.”

I bund og grund registrerede Avast og AVGs Online Security-udvidelser hvert eneste af deres brugeres aktivitet. De dokumenterede hvilke sider der blev besøgt, hvornår og hvorfra. Avast hævdede, at dataindsamlingen var en nødvendig del af online-sikkerhedsprogrammet, men browserudvidelser fra konkurrerende udbydere fungerede fint uden at indsamle og opbevare en så stor mængde af personlige oplysninger.

Efterfølgende blev det afsløret, at disse data blev solgt til store kunder som Home Depot, Google og Pepsi, gennem et datterselskab af Avast ved navn Jumpshot.

Avasts datterselskab solgte brugerdata for millioner af dollars

Avast købte Jumpshot 2013. Jumpshot var et firma, der indsamlede “anonyme” brugerdata og solgte disse oplysninger til online virksomheder. Jumpshots offentlige oplysninger var ikke så dybdegående, men de hævdede at have opnået “clickstream-data fra 100 millioner online-shoppere og 40 millioner app-brugere”. Kilden til Jumpshots brugerdata var spyware indlejret i Avast og AVGs Online Security browserudvidelser. Palant var drivkraften i at afsløre dem, men det sidste søm i Jumpshots kiste var denne artikel fra VICE Motherboard, offentliggjort i starten af 2020. Den viser de virksomheder der har købt data fra Jumpshot, sammen med en vidnesbyrd fra en whistleblower og lækkede interne dokumenter fra Avast og Jumpshot. Jumpshot hævdede, at ingen “personlige identificerende oplysninger” var inkluderet i de data de solgte, men mange eksperter var ikke overbeviste.

Ifølge undersøgelsen indeholdt Jumpshots data hvert klik udført af Avast Online Security-brugere, sammen med tidsstempler (nøjagtigt ned til millisekundet), land, by og postnummeret fra brugernes IP-adresser. Palant viste at der var alvorlige funktionsfejl i algoritmen der var designet til at censurere specifikke data, som e-mailadresser og profiler på sociale medier. Hele forsendelsesoplysninger fra postvæsner, herunder navne og hjemmeadresser, blev inkluderet i datapakker der blev solgt af Jumpshot.

Amerikanske senatorer og efterforskningsjournalister så Avast som ansvarlig

Oregons senator Ron Wyden, en velkendt talsmand for cybersikkerhed, netneutralitet og digitalt privatliv, kritiserede Avast offentligt i 2019, og sagde på Twitter at, “Amerikanere forventer at software der lover cybersikkerhed beskytter deres data, og ikke sælger dem til marketingfolk.” Jeg ser på denne bekymrende rapport om Avast og deres manglende beskyttelse af brugerenes data. ”

Efter at de blev fjernet fra Chrome, Mozilla og Operas markedspladser, havde Avast muligheden for at stoppe deres privatlivskrænkende taktikker og begynde at opføre sig som et respektabelt cybersikkerhedsvirksomhed. De ændrede fortrolighedsindstillingerne for browserudvidelsen Online Security, som blev indført i de forskellige browseres markedspladser igen, i slutningen af december. Men senere blev det afsløret af VICE Motherboard, at de bare flyttede deres dataindsamling til deres vigtigste antiviruspakke, og indførte at man under installationsprocessen “blev spurgt” om man ville have sine oplysninger indsamlet.

Med offentliggørelsen af VICE Motherboards artikel, og i lyset af offentlig utilfredshed, lukkede Avast endelig Jumpshot helt i februar 2020. Men for SafetyDetectives og mange andre i cybersecurity-verdenen var det for sent. 7 år hvor de på ulovlig vis har indsamlet brugerdata, det er et af de største etiske overtrædelser i antivirussoftwarens historie.

Hvorfor er det særligt alvorligt når en udbyder af antivirusprogrammer laver etiske overtrædelser?

Antivirussoftware er noget af den mest invasive software der findes. Vi giver vores antivirussoftware adgang til alle vores systemfølsomme filer, browserhistorik, økonomiske oplysninger og personlige netværk. Vi underskriver brugeraftaler og privatlivspolitikker og antager at der ikke er gemt noget i dem. Men ved at krænke deres kunders privatliv på denne måde, har Avast ødelagt forholdet mellem brugere og antivirusprodukter over hele verden. Der er nok trusler fra hackere og invasive regeringer til at bekymre sig om. Antivirusprogrammer bør ikke være endnu en trussel mod brugernes sikkerhed.

Jumpshot er officielt lukket, og Avast Online Security er tilbage i Chrome og Mozillas markedspladser med strammere beskyttelse af privatlivets fred. Men sagen er stadig, at Avast på uetisk vis tjente penge på deres brugers data i syv år, og det eneste der stoppede dem, var Wladimir Palants rapport og de journalister fra VICE Motherboard. Efter vores mening ville Avast aldrig være stoppet, hvis uafhængige fagfolk ikke havde dokumenteret disse alvorlige overtrædelser nøje og underrettet offentligheden. Det kan endda diskuteres, at Avast kun for alvor overvejede at ændre deres praksis, efter at en amerikansk senator trådte konfronterede dem.

Brugerfeedback inspirerede os til at fjerne Avast fra SafetyDetectives

Her på SafetyDetectives har vi haft andre problemer med Avast i årenes løb. Efter en negativ anmeldelse fjernede de faktisk deres reklamer fra vores hjemmeside. Vi har stadig bestræbet os på at give dig de bedste antivirusprodukter på internettet, uanset vores forretningsforbindelser med de virksomheder der holder vores side kørende. Derfor fortsatte vi med at inkludere Avast og AVG på vores lister. Vi valgte det endda som det bedste antivirusprogram til mobile enheder:

Hvorfor er det særligt alvorligt når en udbyder af antivirusprogrammer laver etiske overtrædelser?

Men vi kan ikke længere fortsætte med at promovere Avast eller nogen af deres datterselskaber (som AVG) på vores hjemmeside, efter de krænkelser af brugernes privatliv der har fundet sted i løbet af de sidste 7 år.

Vi har længe overvejet at gøre det. Selvom mange anmeldelsessider fortsætter med at promovere og få penge fra Avast, har vi det sidste stykke tid distanceret os fra dem, og fjernet dem fra vores toplister. Den største motivation for os var alt den feedback vi fik fra vores læsere. Vi fik meddelelser som denne: ”Efter historien om at AVAST sælger deres brugeres data, bør denne software ikke modtage nogen positiv anmeldelse eller anbefaling.”

Vi er helt enige. Denne form for krænkelse af privatlivets fred burde påvirke enhver person, der tror på grundlæggende menneskerettigheder. Det er grunden til, at det er så vigtigt for computerbrugere at holde sig opdateret om disse problemer og beskytte deres computere med pålidelig antivirussoftware.

Det er ikke altid den lette eller populære ting at gøre, men det er vigtigt at kæmpe mod store virksomheder, når de krænker vores rettigheder. SafetyDetectives blev grundlagt med det formål, at give mennesker over hele kloden værktøjer til at holde deres data sikre i den digitale tidsalder. Vi ville sikre folk mod hackere, uetiske regeringer og endda farlige udbydere af antivirusprogrammer som Avast, der har vist verden hvor lidt de tænker på deres brugere.

Selvom Avast er tilbage i de fleste større webbutikker og de fleste af deres 400 millioner brugere fortsætter med at bruge deres software, uvidende om disse etiske overtrædelser, så er alle os hos SafetyDetectives stolte af at stå fast i vores overbevisning.

Så hvis du undrer dig over hvorfor der ikke er nogen omtale af Avast eller AVG på vores hjemmeside, er det derfor.

Hvis du har brug for et antivirusprogram der ikke stjæler dine data og sælger dem til Pepsi, kan du se vores liste over de bedste antivirusprogrammer i 2020.

Om Forfatteren

Ben Martens
Ben Martens
Cybersecurity journalist

Om Forfatteren

Ben Martens er en cybersikkerhedsjournalist med en baggrund i internetetik, malwaretest og er fortaler for privatlivet. Han bor i Oregon, og når han ikke taler om internetbrugeres rettigheder, går han ture med hans hun og finder på historier med hans datter.