FTC cáo buộc rằng công ty con Jumpshot có trụ sở tại Mỹ của Avast đã sử dụng các tiện ích mở rộng trình duyệt và phần mềm chống virus để thu thập, lưu trữ vô thời hạn và cho phép một công ty thứ ba bán lịch sử duyệt web của người dùng từ năm 2014 - 2020 mà không có thông báo đầy đủ và sự đồng ý của người tiêu dùng.
Cơ quan này cho biết Avast cũng lừa dối người dùng bằng cách tuyên bố rằng phần mềm sẽ bảo vệ quyền riêng tư của người tiêu dùng bằng cách chặn sự theo dõi của bên thứ ba. FTC cáo buộc trong đơn khiếu nại của mình rằng Avast đã rao bán dữ liệu duyệt web chi tiết và có thể nhận dạng lại của họ cho hơn 100 bên thứ ba thông qua công ty con Jumpshot. “Có thể nhận dạng lại” có nghĩa là dữ liệu có thể được kết hợp với dữ liệu được lưu trữ công khai khác hoặc được các nhà môi giới dữ liệu tích lũy để xác định danh tính của người tiêu dùng cụ thể.
Đơn khiếu nại của FTC cho biết rằng mặc dù Avast và các công ty con của hãng này đang thông báo với khách hàng rằng phần mềm của họ sẽ chặn các cookie theo dõi gây khó chịu thu thập dữ liệu về hoạt động duyệt web của người dùng và sẽ bảo vệ quyền riêng tư của người dùng bằng cách ngăn chặn dịch vụ web theo dõi hoạt động trực tuyến. Tuy nhiên trên thực tế, Avast đã thu lợi nhuận một cách trắng trợn từ dữ liệu của người dùng mà không đưa ra thông báo thích hợp.
Người phát ngôn của Avast, có trụ sở chính thức tại Mỹ, cho biết công ty đã làm việc với FTC để giải quyết cuộc điều tra về việc Avast cung cấp dữ liệu khách hàng trước đây cho công ty con Jumpshot mà Avast đã tự nguyện đóng cửa vào tháng 01/2020.
Tuyên bố cho biết: “Chúng tôi cam kết thực hiện sứ mệnh bảo vệ và trao quyền cho cuộc sống số của mọi người”. “Mặc dù chúng tôi không đồng ý với các cáo buộc và mô tả không đúng sự thật của FTC, nhưng chúng tôi rất vui lòng giải quyết vấn đề này và mong muốn được tiếp tục phục vụ hàng triệu khách hàng của mình trên toàn thế giới.”
Khiếu nại của FTC lưu ý rằng sản phẩm của Avast nhằm mục đích mang lại sự bảo mật và quyền riêng tư, tuy nhiên sự việc này đã khiến việc vi phạm quyền riêng tư của người tiêu dùng trở nên ngày càng nghiêm trọng hơn. Việc bán dữ liệu duyệt web thực tế được thực hiện bởi công ty con Jumpshot của Avast. Jumpshot, ban đầu là nhà cung cấp phần mềm chống vi-rút, đã được chuyển đổi thành công ty phân tích sau khi được Avast mua lại vào năm 2014. Công ty đã đóng cửa Jumpshot vào năm 2020.
FTC cho biết rằng khách hàng mua thông tin của Avast bao gồm các công ty tư vấn, công ty đầu tư, công ty quảng cáo, công ty phân tích dữ liệu tiếp thị, thương hiệu cá nhân, công ty tối ưu hóa công cụ tìm kiếm và nhà môi giới dữ liệu. FTC cho biết thêm rằng: “Việc sử dụng thuật toán độc quyền do Avast và Jumpshot phát triển nhằm mục đích tìm và xóa thông tin nhận dạng trước mỗi lần chuyển thông tin duyệt web của người tiêu dùng đến máy chủ của Jumpshot. Nhưng quy trình này không đủ để ẩn danh thông tin duyệt web của người tiêu dùng, thông tin mà Jumpshot sau đó đã bán, ở dạng không tổng hợp, thông qua nhiều sản phẩm khác nhau cho bên thứ ba”.
Dữ liệu có thể nhận dạng lại cực kỳ chi tiết
Đơn khiếu nại của FTC cho biết mức độ chi tiết của dữ liệu duyệt web mà Jumpshot được cho là đã bán rất đáng kinh ngạc, bao gồm từng trang web được truy cập, dấu thời gian chính xác, loại thiết bị và trình duyệt được sử dụng cũng như thành phố, tiểu bang và quốc gia nơi người dùng sinh sống. FTC cho biết thêm rằng phần lớn dữ liệu được bán bao gồm “số nhận dạng thiết bị duy nhất và liên tục được liên kết với từng trình duyệt cụ thể… cho phép Jumpshot và người mua bên thứ ba theo dõi các cá nhân trên nhiều miền theo thời gian”.
Jumpshot đã bán dữ liệu cho các công ty có quy mô lớn, bao gồm cả gã khổng lồ quảng cáo Omnicom. Hợp đồng năm 2017 với Omnicom có chứa các điều khoản yêu cầu Jumpshot cung cấp “Nguồn cấp dữ liệu tất cả lần nhấp” - nghĩa là tất cả các URL “được nhấp trong các phiên duyệt web của người tiêu dùng cụ thể” - cho một nửa số khách hàng ở Hoa Kỳ, Anh, Mexico, Úc, Canada và Đức của Omnicom, trên tất cả tên miền. FTC cho biết trong một thông cáo báo chí rằng Omnicom cũng được phép liên kết dữ liệu của Avast với nguồn dữ liệu của nhà môi giới dữ liệu, trên cơ sở người dùng cá nhân. Hợp đồng cũng cho phép Omnicom truyền, tiếp thị và cấp phép lại cho khách hàng của mình các sản phẩm có nguồn gốc từ dữ liệu thô và phí của Jumpshot trong thỏa thuận là khoảng 2 triệu USD mỗi năm.
Những người ủng hộ bảo vệ quyền riêng tư đã rất bất ngờ trước mức độ vi phạm và gọi vụ việc này là sự kiện chưa từng có từ trước đến nay.
John Davisson, Giám đốc tại Trung tâm thông tin quyền riêng tư điện tử cho biết: “Thật khó có thể nói hết về hành động của Avast. Thông tin duyệt web là một trong những dữ liệu cá nhân nhạy cảm nhất, thường mang lại những hiểu biết riêng tư mà người tiêu dùng thậm chí không chia sẻ với gia đình hoặc bạn bè”.
Việc bán dữ liệu hoạt động như thế nào
Trước khi đóng cửa, Jumpshot chưa bao giờ xóa bất kỳ dữ liệu nào mà họ tích lũy được trong sáu năm lấy dữ liệu từ công ty Avast. Đơn khiếu nại của FTC cho biết khi đóng cửa vào tháng 01/2020, Jumpshot đã lưu giữ hơn 8 petabyte thông tin duyệt web kể từ năm 2014.
Chỉ vào một mẫu ngẫu nhiên gồm 100 mục dữ liệu, FTC cho biết họ đã tìm thấy các tìm kiếm về các triệu chứng ung thư; một thông báo về việc ứng cử tổng thống của Thượng nghị sĩ Elizabeth Warren; chỉ đường trên Google Maps từ vị trí này đến vị trí khác; một liên kết đến một trang web hẹn hò của Pháp, bao gồm ID thành viên duy nhất;... Thông tin duyệt web này sau đó được ghép nối với mã nhận diện thường trực (PID), bao gồm cả việc xác định thiết bị truy cập của mỗi người tiêu dùng.
Điều gì sẽ xảy ra tiếp theo
Khoản tiền phạt 16,5 triệu USD đi kèm với một số điều kiện nhằm ngăn Avast và các công ty con của họ lừa dối người tiêu dùng về cách xử lý dữ liệu. Những điều kiện này, được FTC đề xuất bao gồm:
Quốc Trường
(Theo The Hacker News)
09:00 | 29/01/2024
09:00 | 09/01/2024
14:00 | 30/11/2023
09:00 | 17/09/2024
Cục An toàn thông tin khuyến nghị, các cơ quan, tổ chức cần kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh hưởng bởi chiến dịch tấn công mạng.
10:00 | 10/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
12:00 | 08/09/2024
Chương trình nghệ thuật “Vinh quang thầm lặng 2024” kết thúc để lại nhiều ấn tượng tốt đẹp và xúc cảm sâu sắc trong lòng người xem. Phóng viên Tạp chí An toàn thông tin đã ghi nhận lại cảm xúc của các cán bộ, nhân viên ngành Cơ yếu khi xem chương trình.
08:00 | 05/09/2024
Giữa những trang sử vàng của cuộc kháng chiến chống Mỹ, có những câu chuyện về những người lính thầm lặng, những người không trực tiếp cầm súng chiến đấu nhưng lại nắm giữ một vũ khí vô cùng lợi hại, đó là thông tin. Họ là những chiến sĩ cơ yếu, những người đã cống hiến cả cuộc đời mình cho sự nghiệp bảo vệ bí mật quốc gia, góp phần không nhỏ vào thắng lợi của dân tộc. Ông Nguyễn Văn Khôi, một cựu chiến binh cơ yếu, là một trong những nhân chứng sống của thời kỳ hào hùng đó.
Sau những trận lũ lụt, lở đất ở miền Bắc gần đây, đã có nhiều báo cáo về những kẻ lừa đảo đóng giả là các tổ chức từ thiện hoặc cơ quan chính phủ.
16:00 | 04/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Ngày 30/9, Adobe chính thức ra mắt tính năng hỗ trợ tiếng Việt dành cho phần mềm Photoshop trên máy tính, giúp người dùng Việt thỏa sức sáng tạo mà không gặp trở ngại về ngôn ngữ.
12:00 | 03/10/2024