Skandalen rundt Avast: Hvorfor vi har sluttet å anbefale Avast og AVG

Ben Martens
Publisert den: 2020 april 27
Skandalen rundt Avast: Hvorfor vi har sluttet å anbefale Avast og AVG

Mange av leserne har sendt oss meldinger og spurt hvorfor vi fremdeles har vurderinger av Avast og AVG på nettstedet, til tross for at de er midt oppe i en alvorlig skandale. Vel, etter en lang vurdering frem og tilbake mellom avdelingene, har vi besluttet å endelig fjerne de fra listene.

Hvorfor? Fordi Avast – som også eier AVG – har havnet i en storm av kontroverser de siste månedene med alvorlige beskyldninger etter uetisk forretningspraksis.

Nettleserutvidelsen Avast Online Security ble slettet fra butikkene til Mozilla, Chrome og Opera i desember 2019, etter påstander om at den samlet inn en suspekt mengde brukerdata – ikke bare for hvert nettsted som ble besøkt, men også brukerlokalisering, søkehistorikk, alder, kjønn, identiteter på sosiale medier og til og med personlige opplysninger fra kjøp på nettet. Tre måneder senere stengte Avast datterselskapet Jumpshot i kjølvannet av rapporter som dokumenterte salget av personopplysninger fra rundt 100 millioner brukere, der alt var innsamlet fra uriktig overvåkning av brukerne.

Teamet til SafetyDetectives har nøye vurdert beslutningen med å fjerne Avast fra eget nettsted de siste ukene. Når alt kommer til alt, får ikke virksomheter som beskyldes for såpass alvorlige beskyldninger tillit av oss, og kan ikke lenger få anbefalinger fra oss.

Her er mer om hvordan Avast angivelig spionerte på brukerne de siste 7 årene

Wladimir Palant – grunnleggeren av Adblock Plus – var den første som slo alarm om praksisen til Avast. I oktober 2019, la han ut avslørende informasjon på egen blogg, med en detaljert forklaring av påstandene, om hvordan Avast kunne «overføre data som gjør at de kunne rekonstruere hele surfehistorikken, og mye om hvordan du oppfører deg på Internett».

I hovedsak ble alle klikk lagret av nettleserutvidelsene Online Security fra Avast og AVG – de dokumenterte hvilke nettsteder som ble besøkt, når og fra hvor. Selv om Avast på sin side påsto at datainnsamlingen var en nødvendig del av nettleserutvidelsen Online Security, så det ut som konkurrerende leverandører klarte seg helt fint uten å lagre såpass store mengder personopplysninger.

Deretter kom avsløringen om at disse dataene ble solgt videre av Avira, gjennom et datterselskap som heter Jumpshot, til store klienter som Home Depot, Google og Pepsi.

Datterselskapet til Avast solgte brukerdata med millioner av dollar i fortjeneste

Avast kjøpte opp Jumpshot i 2013, et selskap som samlet inn «anonyme» brukerdata og solgte dataene videre til forskjellige internettbaserte virksomheter. Den offisielle informasjonen rundt Jumpshot var veldig vag, med de påsto å ha innhentet «klikkstrømdata fra 100 millioner netthandelbrukere og 40 millioner app-brukere». Kilden til de brukerdataene Jumpshot samlet inn, var spionvare bakt inn i nettleserutvidelsen Online Security Browser fra Avast og AVG. Palant var drivkraften bak denne avsløringen, men spikeren i kisten til Jumpshot var denne artikkelen av VICE Motherboard, som ble publisert tidlig i 2020. Den lister opp selskapene som kjøpte data fra Jumpshot, i tillegg til forklaringen fra varsleren og lekkede interndokumenter fra Avast og Jumpshot. Jumpshot påsto at det ikke fantes personlig identifiserbar informasjon i dataene som ble solgt, men de fleste ekspertene ble langt fra overbevist.

Ifølge etterforskningen inneholdt dataene fra Jumpshot hvert klikk gjort av brukerne av Avast Online Security, i tillegg til tidsstempling (med nøyaktighet ned på mikrosekundet). De hentet ut brukerinformasjon som omhandlet hvilket land du befant deg i, poststed og postnummer fra brukernes IP-adresser. Algoritmen, som ble utviklet for å lagre spesifikke data som e-postadresser og sosiale mediaprofiler, ble avdekket av Palant til å inneholde alvorlige funksjonsfeil – både fraktopplysninger fra fraktselskaper, inkludert navn og hjemmeadresser ble inkludert i datapakkene som ble solgt av Jumpshot.

Amerikanske senatorer og journalister som undersøkte saken nærmere holder Avast ansvarlig for det som har skjedd

Senatoren fra Oregon (USA), Ron Wyden, en velkjent talsperson for cybersikkerhet, nettnøytralitet og digitalt personvern, omtalte skandalen rundt Avast i full offentlighet i desember 2019, og skrev på Twitter at: «Amerikanere forventer at programvare som skal bedre cybersikkerheten og personvernet til den enkelte beskytter personopplysninger, og ikke selger det til høystbydende. Jeg vil undersøke nærmere den bekymringsverdige rapporten om Avast, og det at de ikke klarer å beskytte kundedata».

Det neste som skjedde, når de ble fjernet fra nettbutikkene til Chrome, Mozilla og Opera – der Avast hadde god anledning til å kutte ut praksisen med å forsyne seg med personopplysninger og fortsette som et ansvarlig selskap innen cybersikkerhet. Endret de bare personvernreglene til nettleserutvidelsen Online Security, noe som gjorde at de igjen returnerte til nettbutikkene i slutten av desember. Men som avsløringen fra VICE Motherboard avdekket, tok de bare å flyttet den samme datainnsamlingen til hovedprogrammet, der de la inn et beskjedent spørsmål om datainnsamling under installasjonsprosessen.

Med publiseringen av artikkelen fra VICE Motherboard, og en fullstendig avvisning fra offentligheten, gikk Avast endelig til det skrittet og terminerte driften til Jumpshot i februar 2020. Men for SafetyDetectives sin del, og mange andre i cybersikkerhetsbransjen, var det for sent. 7 år med hemmelige fortjenester på salg av brukerdata gjør dette til en av de største etiske bruddene i historikken til antivirusprogrammer.

Hvorfor etiske brudd fra et antivirusselskap er spesielt alvorlig

Antivirusprogrammer er noe av den mest invasive programvaren som finnes. Vi gir antivirusprogrammene enestående tilgang til systemet – sensitive filer, nettleserloggen, bankopplysninger og personlige nettverk – alt dette er synlig for antiviruset. Vi signerer personvernserklæringer og brukeravtaler med den antakelsen at det ikke er skjult noe lureri i all jussen. Men, ved å krenke kundenes personvern på denne måten, har Avast visket ut forholdet mellom brukerne og antivirusprodukter over hele verden. Det finnes nok trusler fra hackere og pågående myndigheter å bekymre seg for – antivirusleverandører bør ikke være bare enda en trussel mot sikkerheten til brukerne.

Jumpshot er offisielt stengt ned, og Avast Online Security er tilbake på nettbutikkene til Chrome og Mozilla, med litt strengere personvernbeskyttelse. Likevel er det et faktum at Avast profiterte uetisk på brukernes data i hele 7 år, og det som fikk dem til å stoppe var en privat rapport fra Palant og gravejournalistene til VICE Motherboard. Etter vår mening, hvis ikke uavhengige bransjefolk iherdig hadde gått inn og dokumentert disse alvorlige bruddene og varslet det offentlig, hadde Avast fremdeles hatt denne svindelen gående. Det kan også diskuteres om Avast bare endret praksis etter at en amerikansk senator tok et standpunkt og konfronterte selskapet.

Tilbakemeldinger fra brukerne inspirerte oss til å fjerne Avast fra SafetyDetectives

Her på SafetyDetectives har vi hatt andre utfordringer med Avast i flere år etter en negativ omtale, der de trakk annonseringen fra nettstedet. Likevel har vi alltid forsøkt å formidle cybersikkerhetsprodukter på Internett, uansett hvilke forretningsforbindelser vi har med de selskapene som gjør at vi tjener på å drive dette nettstedet. Det er også årsaken til at vi likevel fortsatte å inkludere Avast og AVG på listene – vi hadde de til og med plassert øverst på listen som det beste antiviruset til mobilenheter:

Hvorfor etiske brudd fra et antivirusselskap er spesielt alvorlig

Imidlertid, etter såpass grove brudd på personvernet som har pågått de siste 7 årene, kan vi ikke lenger fortsette å promotere Avast eller noen av datterselskapene (som AVG) på vårt nettsted.

Vi har vurdert å gjøre dette lenge. Selv om mange nettsteder som driver omtale av programvare fortsetter å promotere – og profitere – på Avast, har vi mer eller mindre fjernet dem fra listene. Den endelige motivasjonen for oss var alle tilbakemeldingene vi fikk fra leserne med meldinger som dette: “Etter det AVAST har foretatt med salg av brukerdata, bør ikke programvaren få positive omtaler eller anbefalinger”.

Vi er helt enige. Denne type brudd på privatlivet bør være en vekker til alle som tror på elementære menneskerettigheter. Derfor er det viktig for databrukere å være oppmerksom på denne type aktivitet, og beskytte datamaskinene med antivirusprogramvare man kan ha full tillit til.

Det å ta en slik beslutning er verken enkelt eller populært, men det å konfrontere store selskaper når de krenker rettighetene våre, det er viktig. SafetyDetectives ble grunnlagt med den hensikt å gi folk over hele verden de verktøyene de trenger for å beskytte private data i den digitale tidsalderen vi befinner oss i – trygg mot hackere, myndigheter som driver uetisk snoking i privatlivet og griske cybersikkerhetsselskaper som Avast, som har vist verden hvor lite de bryr seg om brukerne.

Selv om Avast er tilbake på de fleste store nettbutikkene, og de fleste av de 400 millioner brukerne fortsetter å bruke programvaren, der de ignorerer disse uetiske bruddene – er alle her på teamet til SafetyDetectives stolte av stå fast på den overbevisningen vi har.

Lurer du på hvorfor ikke Avast eller AVG nevnes på nettsidene våre, så er dette altså årsaken.

Hvis du trenger et antivirus som ikke stjeler personlige data og selger de til Pepsi, sjekk listen vi har satt opp over den beste antivirusprogramvaren i 2020.

Om forfatteren

Ben Martens
Ben Martens
Cybersecurity journalist

Om forfatteren

Ben Martens er en journalist i cybersikkerhet med en bakgrunn fra internettetikk, skadevaretesting og sosiale retningslinjer. Han bor i Oregon i USA, og når han ikke er talsperson for rettighetene til internettbrukere, så går han turer med hunden og lager fortellinger for datteren.