4 亿用户数据被售卖,著名网络安全公司“监守自盗”...

clipboard.png

就在上个月,一份泄露的 Facebook 文件显示,扎克伯格和他的董事会与管理层,利用 Facebook 的用户数据 —— 包括好友信息、关系和照片等 —— 作为「邀请」其他公司参阅合作的筹码。

在某些情况下,Facebook 会授权合作伙伴优先访问某些特性用户数据的权利,而禁止其他竞争公司访问同样的数据。

这是摆明了把用户数据当自己的资源啊,也正因为这样,舆论对 Facebook 和扎克伯格的批判再一次到了风口浪尖,并且第一次大范围出现了「要求扎克伯格和公司二把手辞职」。社交网络上也掀起了卸载 Facebook 软件的风潮。

但我们今天提到的这个公司,做的更过分。

一家有数十年历史的老牌网络安全公司 —— Avast,不仅不能保护好用户的信息安全,还主动贩卖平台上的用户数据。

clipboard.png

网络安全公司不仅不安全,还”监守自盗“

有消息称,安装了 Avast Online Security 扩展的浏览器,大概率受到了监视,并被截取了相关的数据。该公司发布声明称攻击的目的是为了将恶意软件插入 CCleaner 软件中。攻击者攻陷了某员工的 VPN 凭证,获取了对未受多因素认证解决方案保护的某账户的访问权限。

另据《福布斯》的报道称,Avast 正在通过售卖平台上 4 亿用户的 Web 浏览习惯而获利,这一行为最早可追溯到 2013 年。

clipboard.png

企业介绍:Avast

来自捷克的 Avast(中文名为爱维士 ),已有数十年的历史,它在国外市场一直处于领先地位。Avast 的实时监控功能十分强大,免费版的 Avast 免费杀毒软件拥有八大防护模块:文件系统防护、网页防护、邮件防护、网络防护、P2P 防护、即时消息防护、行为防护、脚本防护。

据悉,通过 Acast 收集的数据不仅包含访问的页面信息和搜索历史,还包含一些精确的浏览行为:

  • 打开了多少个选项卡;
  • 何时访问了哪些网站,停留了多长时间以及切换到的下一个页面地址;
  • 页面中点击过的位置;

所说没有直接收集用户的敏感身份信息,但 Avast 仍然可以通过这些信息准确的定位到具体的用户。大量资料表示,在已知浏览历史的情况下,大多数情况下可以识别相应的社交媒体帐户。

而这一系列行为,还导致该公司一些工具被其他家杀软标志为“间谍软件”。尽管反病毒提供商表示,Mozilla和Opera都非常担心本月初从其附加商店中删除了一些Avast工具,也就是浏览器插件(可能由于其他杀软报毒),但该公司表示正在与Mozilla合作,以使其产品重新上线。

另一方面,Avast 也在联合第三方数据公司,对收集到的用户数据进行售卖。

clipboard.png

据报道所说,Avast 的信息售卖流程大致是这样的:

  1. 通过浏览器扩展收集数据,脱敏处理后并存储到 Avast 服务器中;
  2. 数据由数据公司 Jumpshot 进行数据分析,客户购买的是数据分析后的结果。

也就是说,客户得到的并不是用户的原始数据,也不是脱敏后的行为数据,而是”通过分析用户数据后,得到的用户行为分析报告“。比如访客从一个网站到另一个网站的转化百分比。

这件事 Avast 怎么说?

clipboard.png

据《福布斯》对 Avast 首席执行官 Ondrej Vlcek 的采访,Vlcek 称:”Avast 出售的所有用户信息都无法追溯到单个用户。“

意思就是 —— 我们确实在卖用户的数据。

但 Vlcek 补充说:“我们绝对不允许任何广告商或任何第三方 …… 通过 Avast 获得任何访问权限,或任何允许第三方针对特定个人的数据。”

意思就是 —— 不允许第三方卖,外面的数据都是我们卖的。

实际上,Avast 通过卖数据转到的收入,大约可以占到总收入的 5%。资料显示 2019 年上半年的总收入约为 4.3 亿美元。

但事情还没完。

数据售卖这件事,是用户授权的,因为每一个用户都接受并签署了 Avast 提供的「隐私政策」。

clipboard.png

我们来看一下 Avast 的隐私政策,非常长,适用于所有 Avast 产品和网站(隐私政策内容引用自公众号:红数位,ID:reddigit):

我们可能会收集有关您正在使用的计算机或设备,我们在其上运行的产品和服务的信息,并根据设备的类型,所使用的操作系统,设备设置,应用程序标识符(AI),硬件标识符来收集信息。或通用唯一标识符(UUID),软件标识符,IP 地址,位置数据,cookie ID 和崩溃数据(通过使用我们自己的分析工具或第三方提供的通行费,例如Crashlytics或Firebase)。设备和网络数据已连接到安装 GUID。

我们从所有用户收集设备和网络数据。我们仅收集和保留我们提供功能,监视产品和服务性能,进行研究,诊断和修复崩溃,检测错误以及修复安全性或操作中的漏洞所需的数据(换句话说,与您签订合同以提供服务)。

我们的防病毒和 Internet 安全产品要求使用数据的收集才能完全起作用。我们收集的一些使用情况数据包括:

有关在何处使用我们的产品和服务的信息,包括大概的位置,邮政编码,区号,时区,URL 以及与您在线访问的网站的 URL 有关的信息;

我们使用此 Clickstream 数据为您提供恶意软件检测和保护。我们还使用 Clickstream
数据对威胁进行安全性研究。我们对Clickstream数据进行假名化和匿名化,然后将其重新用于跨产品直销,跨产品开发和第三方趋势分析。

clipboard.png

换句话说,Avast 被用户授权收集并储存相关的数据,并且还保留数据的相关使用权,甚至包括将其授予未命名的第三方以进行「趋势分析」。

但这事儿,用户真的知道么?

忽忽悠悠的「隐私协议」

clipboard.png

“中国用户愿意用隐私换便利”,这句话曾经引起巨大争议,然而根据网络上的反馈,国内外的用户其实真的就没认真看过隐私协议。

最主要的原因是:大部分的隐私协议又臭又长,大家都看不下去啊!!!

如果说我们来统计一下页面的「点击率」和「完读率」,隐私协议页面应该毫无争议的排名倒数第一了...因为这个页面是必点的,但基本上大部分人都是直接划到页面底部、等待倒计时结束,然后匆匆忙忙的点击「同意」。

主要不同意也不行啊...

clipboard.png

对于「隐私协议」,有一个「知情同意」原则,严格说是「知情」和「同意」两项权利:

也就是说,用户有权知道自己将付出哪些代价、获得哪些权利,并且同意这一协议。「知情同意」通常是处理和利用用户数据的前提,也是法律判处的判断依据。

但实际上,因为大家都不仔细读「隐私协议」,大部分都是在「不知情」的情况下同意的,这就会产生两个问题:

第一,企业可能借机攫夺用户对个人数据享有的权益;
其二,企业将因此始终面临数据合规层面的监管风险。

所以,除了部分居心叵测的企业外,大部分企业是希望用户可以了解协议中具体条款内容的。而随着个人隐私意识的逐渐提升,隐私协议的规范化使用也越来越重要。

然而,这依然存在两个问题,需要大家一起来探讨:

第一,又臭又长的隐私协议,应当如何优化调整?

第二,如何培养广大用户先「知情」再「同意」的习惯?

clipboard.png

参考资料:

维基百科:AVAST 腾讯研究院:连美国大法官都不阅读隐私协议,“知情同意”原则如何落地?|腾研识者 红数位:Avast 和 AVG
在线安全扩展插件正在监视您 黑鸟:一个 4 亿用户的网络安全公司,边收边卖用户数据
维他命安全:Avast遭黑客入侵,攻击者试图向CCleaner注入恶意代码;针对MSSQL v11和v12的后门skip-2.0


你平常会看隐私协议么?

clipboard.png

阅读 1.8k

推荐阅读

SegmentFault 思否对开发者行业的洞见、观察与报道

17396 人关注
109 篇文章
专栏主页
目录