Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đã phạt nhà cung cấp phần mềm chống vi-rút Avast 16,5 triệu đô la vì cáo buộc công ty bán dữ liệu duyệt web của người dùng cho các nhà quảng cáo sau khi tuyên bố các sản phẩm của họ sẽ chặn theo dõi trực tuyến.
Ngoài ra, công ty đã bị cấm bán hoặc cấp phép bất kỳ dữ liệu duyệt web nào cho mục đích quảng cáo. Nó cũng sẽ phải thông báo cho người dùng có dữ liệu duyệt web được bán cho bên thứ ba mà không có sự đồng ý của họ.
FTC, trong đơn khiếu nại của mình, cho biết Avast "thu thập không công bằng thông tin duyệt web của người tiêu dùng thông qua các tiện ích mở rộng trình duyệt và phần mềm chống vi-rút của công ty, lưu trữ vô thời hạn và bán nó mà không có thông báo đầy đủ và không có sự đồng ý của người tiêu dùng."
Nó cũng cáo buộc công ty có trụ sở tại Vương quốc Anh lừa dối người dùng bằng cách tuyên bố rằng phần mềm sẽ chặn theo dõi của bên thứ ba và bảo vệ quyền riêng tư của người dùng, nhưng không thông báo cho họ rằng họ sẽ bán "dữ liệu duyệt web chi tiết, có thể nhận dạng lại" cho hơn 100 bên thứ ba thông qua công ty con Jumpshot.
Hơn nữa, người mua dữ liệu có thể liên kết thông tin không nhận dạng cá nhân với thông tin duyệt web của người dùng Avast, cho phép các công ty khác theo dõi và liên kết người dùng và lịch sử duyệt web của họ với thông tin khác mà họ đã có.
Thực tiễn bảo mật dữ liệu gây hiểu lầm được đưa ra ánh sáng vào tháng 1 năm 2020 sau một cuộc điều tra chung của Motherboard và PCMag, gọi Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast và Intuit là một số "khách hàng trong quá khứ, hiện tại và tiềm năng" của Jumpshot.
Một tháng trước, các trình duyệt web Google Chrome, Mozilla Firefox và Opera đã xóa các tiện ích bổ sung trình duyệt của Avast khỏi các cửa hàng tương ứng của họ, với nghiên cứu trước đó từ nhà nghiên cứu bảo mật Wladimir Palant vào tháng 10 năm 2019 coi các tiện ích mở rộng đó là phần mềm gián điệp.
Dữ liệu, bao gồm các tìm kiếm trên Google, tra cứu vị trí và dấu chân internet của người dùng, được thu thập thông qua chương trình chống vi-rút Avast được cài đặt trên máy tính của một người mà không cần sự đồng ý của họ.
"Dữ liệu duyệt web [được bán bởi Jumpshot] bao gồm thông tin về các tìm kiếm trên web của người dùng và các trang web họ đã truy cập - tiết lộ niềm tin tôn giáo, mối quan tâm về sức khỏe, khuynh hướng chính trị, vị trí, tình trạng tài chính, lượt truy cập vào nội dung hướng đến trẻ em và các thông tin nhạy cảm khác", FTC cáo buộc.
Jumpshot tự mô tả mình là "công ty duy nhất mở khóa dữ liệu vườn có tường bao quanh" và tuyên bố có dữ liệu từ 100 triệu thiết bị tính đến tháng 8 năm 2018. Thông tin duyệt web được cho là đã được thu thập từ ít nhất là năm 2014.
Phản ứng dữ dội về quyền riêng tư đã khiến Avast "chấm dứt việc thu thập dữ liệu Jumpshot và kết thúc hoạt động của Jumpshot, với hiệu lực ngay lập tức".
Avast đã sáp nhập với một công ty an ninh mạng khác NortonLifeLock để thành lập một công ty mẹ mới có tên Gen Digital, bao gồm các sản phẩm khác như AVG, Avira và CCleaner.
"Avast hứa với người dùng rằng các sản phẩm của họ sẽ bảo vệ quyền riêng tư của dữ liệu duyệt web của họ nhưng lại mang lại kết quả ngược lại", Samuel Levine, giám đốc Cục Bảo vệ Người tiêu dùng của FTC cho biết. "Chiến thuật giám sát mồi nhử và chuyển đổi của Avast đã xâm phạm quyền riêng tư của người tiêu dùng và vi phạm pháp luật."