Avast-schandaal: Waarom we gestopt zijn met het aanbevelen van Avast en AVG

Ben Martens
Gepubliceerd op: 27 april 2020
Avast-schandaal: Waarom we gestopt zijn met het aanbevelen van Avast en AVG

Onze lezers hebben ons berichten gestuurd en gevraagd waarom we Avast en AVG nog steeds op onze website plaatsen, ondanks dat ze verzeild zijn geraakt in een ernstig schandaal. Welnu, na veel overleg en heen en weer gepraat tussen afdelingen, hebben we besloten om ze eindelijk van al onze lijsten te verwijderen.

Waarom? Omdat Avast — dat ook eigenaar is van AVG — de afgelopen maanden in een enorme controverse terecht is gekomen met betrekking tot ernstige beschuldigingen van onethische bedrijfspraktijken.

De browserextensie Avast Online Security is in december 2019 uit de marktplaatsen van Mozilla, Chrome en Opera verwijderd na beweringen dat het een verdachte hoeveelheid gebruikersinformatie had verzameld — niet alleen elke bezochte website, maar ook de locatie van de gebruiker, zoekgeschiedenis, leeftijd, geslacht, identiteit op sociale media en zelfs persoonlijke verzendinggegevens. Drie maanden later sloot Avast een dochteronderneming, Jumpshot, na publicatie van onderzoeksrapporten waarin de verkoop van persoonlijke informatie van ongeveer 100 miljoen gebruikers werd gedocumenteerd, allemaal verkregen door het ongepast volgen van gebruikers.

Het team van SafetyDetectives heeft onze beslissing om Avast de komende weken van onze website te verwijderen zorgvuldig overwogen. Per slot van rekening heeft elk bedrijf dat met zulke ernstige beschuldigingen wordt geconfronteerd, ons geloof in hen verloren en kan het ons keurmerk niet krijgen.

Op deze manier heeft Avast naar verluidt de afgelopen 7 jaar zijn gebruikers bespioneerd

Wladimir Palant — de oprichter van Adblock Plus — was de eerste die alarm sloeg over de roofpraktijken van Avast. In oktober 2019 plaatste hij de belastende informatie op zijn blog met een gedetailleerde uitleg over hoe hij beweert dat Avast in staat was om “informatie te verzenden waarmee ze uw hele browsegeschiedenis en veel van uw browsegedrag kunnen reconstrueren”.

In feite registreerden de online beveiligingsextensies van Avast en AVG elke klik van hun gebruikers — en legden ze vast welke websites werden bezocht, wanneer en waar vandaan. Hoewel Avast beweerde dat dataverzameling een noodzakelijk onderdeel van de plug-in voor online beveiliging was, leken browserextensies van concurrerende merken prima te werken zonder het verzamelen en bewaren van zo’n grote hoeveelheid persoonlijke informatie.

Toen kwam de bekendmaking dat deze informatie via een Avast-dochter genaamd Jumpshot werd verkocht aan grote zakelijke klanten zoals Home Depot, Google en Pepsi.

Avast-dochteronderneming verkocht gebruikersgegevens voor miljoenen dollars aan winst

In 2013 nam Avast Jumpshot over, een bedrijf dat “anonieme” gebruikersinformatie verzamelde en die informatie verkocht aan online bedrijven. De publieke informatie van Jumpshot was erg vaag, maar ze beweerden “clickstream-data van 100 miljoen online shoppers en 40 miljoen app-gebruikers” te hebben verkregen. De bron van de gebruikersinformatie van Jumpshot was de spyware die was opgenome in Avast en AVG’s Online Security Browser-extensies. Palant was een drijvende kracht achter deze bekendmaking, maar de spijker in de doodskist van Jumpshot was dit artikel dat begin 2020 door VICE Motherboard werd gepubliceerd. Het vermeldt de bedrijven die informatie van Jumpshot hebben gekocht, samen met de klokkenluidersverklaring en gelekte interne documenten van Avast en Jumpshot. Jumpshot beweerde dat er geen “persoonlijk identificeerbare informatie” was opgenomen in de informatie die ze verkochten, maar veel experts waren niet overtuigd.

Volgens het onderzoek bevatten de gegevens van Jumpshot elke klik die door gebruikers van Avast Online Security werd uitgevoerd, samen met tijdstempels (tot op de milliseconde nauwkeurig), land, stad en postcode-informatie van IP-adressen van gebruikers. Het algoritme dat was ontworpen om specifieke informatie zoals e-mailadressen en sociale-mediaprofielen te censureren, werd door Palant ontmaskerd als een ernstige storing — complete verzendinformatie van postbezorgers, inclusief namen en huisadressen, werden opgenomen in datapakketten die door Jumpshot werden verkocht.

Amerikaanse senatoren en onderzoeksjournalisten houden Avast verantwoordelijk

Senator Ron Wyden van Oregon, een bekende voorstander van cyberbeveiliging, netneutraliteit en digitale privacy, noemde Avast in december 2019 publiekelijk bij naam en verklaarde op Twitter dat “Amerikanen verwachten dat cybersecurity- en privacysoftware hun informatie beschermt en niet aan marketeers verkoopt. Ik ben dit verontrustende rapport over Avast aan het onderzoeken, evenals het feit dat het de informatie van consumenten niet beschermt”.

Toen Avast vervolgens uit de webstores van Chrome, Mozilla en Opera werd verwijderd, had het de mogelijkheid om hun privacyschendende praktijken op te geven en zich te gaan gedragen als een respectabel cyberbeveiligingsbedrijf. Ze hebben de privacyinstellingen van de browserversie van Online Security die eind december weer naar webwinkels is gestuurd inderdaad gewijzigd. Maar, zoals de onthulling van VICE Motherboard liet zien, hebben ze hun gegevensverzameling gewoon verplaatst naar de belangrijkste antivirussuite, waarbij ze een “opt-in”-vraag voor dataverzameling tijdens het installatieproces hebben ingebed.

Na de publicatie van het VICE Motherboard-artikel en gezien de unanieme publieke afkeuring, sloot Avast uiteindelijk Jumpshot in februari 2020 definitief volledig. Maar voor SafetyDetectives en vele anderen in de cyberbeveiligingswereld was het te weinig, en te laat. Na 7 jaar heimelijk profiteren van gebruikersinformatie vormt dit een van de grootste ethische schendingen in de geschiedenis van antivirussoftware.

Waarom ethische schendingen door antivirusbedrijven zo bijzonder ernstig zijn

Antivirussoftware is een van de meest invasieve software die er bestaat. We geven onze antivirussoftware een ongekende hoeveelheid toegang tot ons systeem — gevoelige bestanden, browsegeschiedenis, financiële informatie en persoonlijke netwerken zijn allemaal zichtbaar voor onze antivirus. We ondertekenen privacybeleid en gebruikersovereenkomsten in de veronderstelling dat er in alle juridische vaktaal geen bedrieglijke taal verborgen is. Maar door op deze manier de privacy van hun klanten te schenden, heeft Avast de relatie tussen gebruikers en antivirusproducten over de hele wereld aangetast. Er zijn genoeg dreigingen van hackers en invasieve regeringen om je zorgen over te maken — antivirusproviders mogen niet nog zo’n dreiging vormen voor de beveiliging van gebruikers.

Jumpshot is officieel gesloten en Avast Online Security is weer terug in de webstores van Chrome en Mozilla, met strengere privacybescherming. Maar het feit blijft dat Avast zeven jaar lang onethisch geprofiteerd heeft van de informatie van hun gebruikers, en het enige dat hen tegenhield, was de rapportage van een burger, Wladimir Palant en de onderzoeksjournalisten van VICE Motherboard. Als onafhankelijke professionals deze ernstige schendingen niet rigoureus hadden gedocumenteerd en het publiek op de hoogte hadden gebracht, zou Avast deze oplichting naar onze mening nog steeds uitvoeren. Het is zelfs waarschijnlijk dat Avast pas echt overwoog om hun praktijken te veranderen nadat een Amerikaanse senator was opgetreden om hen te confronteren.

Gebruikersfeedback inspireerde ons om Avast van SafetyDetectives te verwijderen

Hier bij SafetyDetectives hebben we in de loop der jaren al eerder problemen met Avast gehad — na een negatieve beoordeling hebben ze hun advertenties daadwerkelijk van onze website gehaald. Toch hebben we er altijd naar gestreefd om u de beste cyberbeveiligingsproducten op het internet aan te bieden, ongeacht onze zakelijke relaties met de bedrijven die onze site winstgevend houden. Daarom bleven we Avast en AVG op onze lijsten plaatsen — we hebben ze zelfs als onze nummer 1 keuze voor de beste antivirus voor mobiele apparaten opgenomen:

Waarom ethische schendingen door antivirusbedrijven zo bijzonder ernstig zijn

Te midden van zulke flagrante schendingen van de privacy van gebruikers die de afgelopen 7 jaar hebben plaatsgevonden, kunnen we Avast of een van hun dochterondernemingen (zoals AVG) echter niet langer op onze site promoten.

We hebben lang over een dergelijke zet nagedacht. Hoewel veel van de beste beoordelingssites Avast blijven promoten en ervan profiteren, hebben we ze al een tijdje langzamerhand van onze lijsten verwijderd. De ultieme motivatie voor ons was alle feedback die we van onze lezers kregen met berichten als deze: “Na het incident met de verkoop van informatie door AVAST mag deze software geen positieve beoordeling of aanbeveling meer krijgen”.

We zijn het er volledig mee eens. Dit soort schendingen van de privacy zou voor iedereen die in fundamentele mensenrechten gelooft, verontrustend moeten zijn. Daarom is het voor computergebruikers zo belangrijk om op de hoogte te blijven van deze problemen en hun computers te beschermen met betrouwbare antivirussoftware.

Het is niet altijd gemakkelijk of populair om te doen, maar het is belangrijk om op te staan tegen grote bedrijven wanneer ze onze rechten schenden. SafetyDetectives is opgericht met de bedoeling om mensen over de hele wereld de tools te bieden om hun informatie veilig te houden in het digitale tijdperk — veilig voor hackers, onethische overheden en zelfs voor roofzuchtige cyberbeveiligingsbedrijven zoals Avast die de wereld hebben laten zien hoe weinig ze om hun gebruikers geven.

Hoewel Avast in de meeste grote webstores terug is, en de meeste van hun 400 miljoen gebruikers hun software blijven gebruiken, onwetend van deze ethische schendingen, zijn we er bij het team van SafetyDetectives allemaal trots op dat we standvastig zijn in onze overtuigingen.

Dus als u zich afvraagt waarom er op onze website geen melding wordt gemaakt van Avast of AVG, dan is dat de reden.

Als u een antivirusprogramma nodig hebt dat uw informatie niet steelt en aan Pepsi verkoopt, bekijk dan onze lijst met de beste antivirussoftware van 2020.

Over de auteur

Ben Martens
Ben Martens
Cybersecurity journalist

Over de auteur

Ben Martens is een cybersecurity-journalist met een achtergrond in internetethiek, malware-testen en openbaar beleid. Hij woont in Oregon en als hij niet voor de rechten van internetgebruikers aan het pleiten is, wandelt hij met zijn hond en bedenkt verhalen met zijn dochter.