Antivirus Avast memata-matai Anda. Begini caranya

Avast telah menjadi salah satu Anti-virus yang telah teruji oleh waktu dan gratis selama hampir satu dekade. Anti-virus tidak memiliki fitur-fitur canggih tetapi menyediakan cukup untuk menutupi individu yang tidak ingin merusak bank untuk perangkat lunak anti-virus premium. Namun, sepertinya ada alasan mengapa Avast gratis dan bukan karena perusahaan ingin semua orang memiliki akses ke anti-virus.

Menurut investigasi bersama oleh PCMag dan motherboard, sepertinya Avast mengumpulkan data Anda untuk membayar pengeluaran mereka dan perangkat lunak anti-virus gratis. Laporan tersebut bergantung pada dokumen bocor yang mencakup data pengguna, kontrak, dan dokumen perusahaan lainnya. Dokumen-dokumen ini menunjukkan penjualan data yang sangat sensitif yang dikumpulkan oleh perusahaan. Data primer berasal dari Jumpshot, anak perusahaan Avast.

Sistem ini bekerja dengan cara yang efisien di mana Avast mengumpulkan data dan Jumpshot mengemas ulang data untuk dijual ke nama-nama besar di industri teknologi. Daftar klien Jumpshot termasuk Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit, dan banyak lainnya. Perusahaan menyediakan apa yang disebut paket "Umpan Semua Klik" yang dapat melacak perilaku, klik, dan bahkan pergerakan di seluruh situs web. Ini membantu perusahaan seperti Home Depot dan Amazon mempelajari perilaku pengguna dengan sangat presisi termasuk kebiasaan berbelanja dan menjelajah Anda.

Data yang dikumpulkan sangat terperinci sehingga klien dapat melihat klik individual yang dilakukan pengguna pada sesi penjelajahan mereka, termasuk waktu hingga milidetik. Dan meskipun data yang dikumpulkan tidak pernah ditautkan ke nama, email, atau alamat IP seseorang, namun setiap riwayat pengguna ditetapkan ke pengidentifikasi yang disebut ID perangkat, yang akan tetap ada kecuali pengguna mencopot pemasangan produk antivirus Avast.

– PCMag

PCMag mengatakan pelacakan mencakup segala hal mulai dari menjelajah dan berbelanja. Misalnya, Avast dapat melacak pengguna yang menelusuri Amazon dan memilih produk yang kemudian dibeli oleh pengguna tersebut. PCMag menunjukkan bahwa meskipun data tersebut tampaknya tidak berbahaya bagi Anda dan saya, Amazon dapat menggunakan waktu yang tepat untuk mengetahui pengguna yang melakukan pembelian. Ini akan tiba-tiba mengubah data yang dianonimkan menjadi data yang dapat diidentifikasi.

Sekilas, klik itu terlihat tidak berbahaya. Anda tidak dapat menyematkannya ke pengguna yang tepat. Yaitu, kecuali Anda Amazon.com, yang dapat dengan mudah mengetahui pengguna Amazon mana yang membeli iPad Pro pada 12:03:05 pada 1 Desember 2019. Tiba-tiba, ID perangkat: 123abcx adalah pengguna yang dikenal. Dan apa pun yang dimiliki Jumpshot pada aktivitas 123abcx—dari pembelian e-niaga lainnya hingga penelusuran Google—tidak lagi anonim.

– PCMag

Pakar privasi tampaknya setuju dengan fakta bahwa data yang dikumpulkan oleh perusahaan seperti Amazon dan data yang dikumpulkan oleh Jumpshot tidak terlalu berbahaya jika dipisahkan. Namun, keadaan berubah menjadi yang terburuk ketika Anda menggabungkan kedua data karena perusahaan tiba-tiba memiliki semua informasi yang mereka butuhkan untuk menunjukkan dengan tepat satu pengguna dan kebiasaan menjelajah/berbelanja mereka.

Sebagian besar ancaman yang ditimbulkan oleh de-anonimisasi—tempat Anda mengidentifikasi orang—berasal dari kemampuan untuk menggabungkan informasi dengan data lain.

Mungkin data (Jumpshot) itu sendiri tidak mengidentifikasi orang. Mungkin itu hanya daftar ID pengguna yang di-hash dan beberapa URL. Tetapi selalu dapat digabungkan dengan data lain dari pemasar lain, pengiklan lain, yang pada dasarnya dapat sampai pada identitas sebenarnya.

– Gunes Acar, peneliti privasi

Sayangnya, yang terburuk belum datang. Menurut log yang ditinjau oleh PCMag dan Motherboard, pengumpulan data tidak berakhir di sini. Avast tampaknya telah mengumpulkan data tentang pencarian topik biasa serta topik yang sangat sensitif seperti preferensi porno, dan bahkan seks di bawah umur. Ini adalah salah satu informasi yang tidak seorang pun ingin terikat dengan mereka. Namun informasi ini ada dan digabungkan dengan data lain, mereka dapat menunjukkan dengan tepat pengguna yang melakukan pencarian.

Ini hanyalah salah satu dari banyak penawaran dari Jumpshot. Ada produk yang dirancang untuk melacak situs web e-niaga, penelusuran YouTube dan Facebook, pelacakan Instagram, dan lainnya. Pada bulan Desember 2018, Omnicom Media Group menandatangani kontrak dengan Jumpshot untuk mendapatkan akses ke paket all-clicks mereka. Biasanya, Jumpshot menghapus PII (Informasi Identifikasi Pribadi) dan menggantinya dengan ID Perangkat untuk melindungi identitas pengguna. Namun, ketika datang ke Omnicom Media Group, Jumpshot memberikan informasi dengan PII. Tak hanya itu, Omnicom Media Group juga meminta Jumpshot untuk memberikan data terkait string URL bahkan usia dan jenis kelamin orang yang sedang browsing web tersebut.

Tidak jelas mengapa Omnicom menginginkan data tersebut. Perusahaan tidak menanggapi pertanyaan kami. Tetapi kontrak tersebut menimbulkan prospek yang mengganggu Omnicom dapat mengungkap data Jumpshot untuk mengidentifikasi pengguna individu.

Meskipun Omnicom sendiri tidak memiliki platform internet utama, data Jumpshot sedang dikirim ke anak perusahaan bernama Annalect, yang menawarkan solusi teknologi untuk membantu perusahaan menggabungkan informasi pelanggan mereka sendiri dengan data pihak ketiga. Kontrak tiga tahun mulai berlaku pada Januari 2019, dan memberi Omnicom akses ke data aliran klik harian di 14 pasar, termasuk AS, India, dan Inggris. Sebagai imbalannya, Jumpshot dibayar $6.5 juta.

– Mag PC

Tidak ada informasi mengenai jumlah perusahaan yang memiliki akses ke data tersebut. Situs web perusahaan mencantumkan IBM, Microsoft, dan Google sebagai mitra. Namun, Microsoft menegaskan bahwa perusahaan tidak memiliki hubungan saat ini. IBM, di sisi lain, mengatakan "tidak memiliki catatan" pernah menjadi klien Avast atau Jumpshot. Google menolak berkomentar tentang masalah ini.

Wladimir Palant adalah orang pertama yang memicu seluruh penyelidikan ketika dia melihat sesuatu yang aneh dengan ekstensi browser perusahaan antivirus: Mereka mencatat setiap situs web yang dikunjungi bersama ID pengguna dan mengirimkan informasi ke Avast. Saat dipanggil, Mozilla dan Google menghapus ekstensi yang kemudian ditambahkan kembali saat Avast menambahkan fitur privasi baru ke ekstensi.

Agregasi biasanya berarti bahwa data beberapa pengguna digabungkan. Jika klien Jumpshot masih dapat melihat data pengguna individu, itu sangat buruk.

Sulit membayangkan bahwa algoritma anonimisasi apa pun akan dapat menghapus semua data yang relevan. Ada terlalu banyak situs web di luar sana, dan masing-masing dari mereka melakukan sesuatu yang berbeda.

– Wladimir Palant, peneliti keamanan

Hampir tidak mungkin untuk mengidentifikasi data. Itu hanya terdengar seperti praktik bisnis yang mengerikan. Mereka seharusnya melindungi konsumen dari ancaman, daripada mengekspos mereka pada ancaman.

– Eric Goldman, salah satu direktur Institut Hukum Teknologi Tinggi di Universitas Santa Clara

Baik PC Mag dan Motherboard mencoba menghubungi Avast dan Jumpshot untuk klarifikasi, tetapi mereka tidak mendapat tanggapan. Avast memang mengatakan bahwa perusahaan tidak akan lagi mengumpulkan data untuk tujuan pemasaran.

Kami sepenuhnya menghentikan praktik penggunaan data apa pun dari ekstensi browser untuk tujuan apa pun selain mesin keamanan inti, termasuk berbagi dengan Jumpshot…

Pengguna selalu memiliki kemampuan untuk memilih keluar dari berbagi data dengan Jumpshot. Mulai Juli 2019, kami telah mulai menerapkan pilihan keikutsertaan eksplisit untuk semua unduhan baru AV (antivirus), dan kami sekarang juga mendorong pengguna gratis kami yang ada untuk membuat pilihan eksplisit, sebuah proses yang akan diselesaikan dalam Februari 2020

– Avast

Saat memasang Avast, perusahaan bertanya kepada pengguna "Keberatan berbagi beberapa data dengan kami?" Pop-up kemudian akan melanjutkan untuk memberi tahu Anda bahwa data yang dikumpulkan akan dihilangkan identitasnya dan dikumpulkan sebagai cara untuk melindungi privasi Anda. Namun, pop-up tidak mengungkapkan informasi tentang proses de-identifikasi atau bagaimana data yang digabungkan dengan informasi lain dapat mengungkapkan identitas Anda yang sebenarnya. Selain itu, Motherboard bertanya kepada pengguna Avast tentang hal itu dan kebanyakan dari mereka mengatakan bahwa mereka tidak tahu tentang kebijakan pengumpulan data dan bagaimana penggunaannya.

Intinya adalah lebih baik membayar perangkat lunak untuk memastikan privasi Anda. Selain itu, selalu merupakan ide yang baik untuk membaca pernyataan privasi dan memastikan data yang dikumpulkan ditangani dengan hati-hati. Setelah melihat kasusnya, kami menyarankan pengguna kami untuk segera mencopot pemasangan Avast atau AVG. Untuk pengguna Windows 10, Windows Defender milik Microsoft menyediakan hampir semua fitur keamanan yang dibutuhkan oleh seorang individu. Selain itu, Anda dapat menggunakan Malwarebytes untuk perlindungan lanjutan atau membeli salah satu anti-virus premium yang tersedia di pasar. Kami tidak pernah merekomendasikan menginstal freeware sampai Anda benar-benar yakin tentang kebijakan mereka terutama ketika menangani bagian-bagian penting dari komputer Anda seperti keamanan dan privasi.