FTC cáo buộc rằng công ty con Jumpshot có trụ sở tại Mỹ của Avast đã sử dụng các tiện ích mở rộng trình duyệt và phần mềm chống virus để thu thập, lưu trữ vô thời hạn và cho phép một công ty thứ ba bán lịch sử duyệt web của người dùng từ năm 2014 - 2020 mà không có thông báo đầy đủ và sự đồng ý của người tiêu dùng.
Cơ quan này cho biết Avast cũng lừa dối người dùng bằng cách tuyên bố rằng phần mềm sẽ bảo vệ quyền riêng tư của người tiêu dùng bằng cách chặn sự theo dõi của bên thứ ba. FTC cáo buộc trong đơn khiếu nại của mình rằng Avast đã rao bán dữ liệu duyệt web chi tiết và có thể nhận dạng lại của họ cho hơn 100 bên thứ ba thông qua công ty con Jumpshot. “Có thể nhận dạng lại” có nghĩa là dữ liệu có thể được kết hợp với dữ liệu được lưu trữ công khai khác hoặc được các nhà môi giới dữ liệu tích lũy để xác định danh tính của người tiêu dùng cụ thể.
Đơn khiếu nại của FTC cho biết rằng mặc dù Avast và các công ty con của hãng này đang thông báo với khách hàng rằng phần mềm của họ sẽ chặn các cookie theo dõi gây khó chịu thu thập dữ liệu về hoạt động duyệt web của người dùng và sẽ bảo vệ quyền riêng tư của người dùng bằng cách ngăn chặn dịch vụ web theo dõi hoạt động trực tuyến. Tuy nhiên trên thực tế, Avast đã thu lợi nhuận một cách trắng trợn từ dữ liệu của người dùng mà không đưa ra thông báo thích hợp.
Người phát ngôn của Avast, có trụ sở chính thức tại Mỹ, cho biết công ty đã làm việc với FTC để giải quyết cuộc điều tra về việc Avast cung cấp dữ liệu khách hàng trước đây cho công ty con Jumpshot mà Avast đã tự nguyện đóng cửa vào tháng 01/2020.
Tuyên bố cho biết: “Chúng tôi cam kết thực hiện sứ mệnh bảo vệ và trao quyền cho cuộc sống số của mọi người”. “Mặc dù chúng tôi không đồng ý với các cáo buộc và mô tả không đúng sự thật của FTC, nhưng chúng tôi rất vui lòng giải quyết vấn đề này và mong muốn được tiếp tục phục vụ hàng triệu khách hàng của mình trên toàn thế giới.”
Khiếu nại của FTC lưu ý rằng sản phẩm của Avast nhằm mục đích mang lại sự bảo mật và quyền riêng tư, tuy nhiên sự việc này đã khiến việc vi phạm quyền riêng tư của người tiêu dùng trở nên ngày càng nghiêm trọng hơn. Việc bán dữ liệu duyệt web thực tế được thực hiện bởi công ty con Jumpshot của Avast. Jumpshot, ban đầu là nhà cung cấp phần mềm chống vi-rút, đã được chuyển đổi thành công ty phân tích sau khi được Avast mua lại vào năm 2014. Công ty đã đóng cửa Jumpshot vào năm 2020.
FTC cho biết rằng khách hàng mua thông tin của Avast bao gồm các công ty tư vấn, công ty đầu tư, công ty quảng cáo, công ty phân tích dữ liệu tiếp thị, thương hiệu cá nhân, công ty tối ưu hóa công cụ tìm kiếm và nhà môi giới dữ liệu. FTC cho biết thêm rằng: “Việc sử dụng thuật toán độc quyền do Avast và Jumpshot phát triển nhằm mục đích tìm và xóa thông tin nhận dạng trước mỗi lần chuyển thông tin duyệt web của người tiêu dùng đến máy chủ của Jumpshot. Nhưng quy trình này không đủ để ẩn danh thông tin duyệt web của người tiêu dùng, thông tin mà Jumpshot sau đó đã bán, ở dạng không tổng hợp, thông qua nhiều sản phẩm khác nhau cho bên thứ ba”.
Dữ liệu có thể nhận dạng lại cực kỳ chi tiết
Đơn khiếu nại của FTC cho biết mức độ chi tiết của dữ liệu duyệt web mà Jumpshot được cho là đã bán rất đáng kinh ngạc, bao gồm từng trang web được truy cập, dấu thời gian chính xác, loại thiết bị và trình duyệt được sử dụng cũng như thành phố, tiểu bang và quốc gia nơi người dùng sinh sống. FTC cho biết thêm rằng phần lớn dữ liệu được bán bao gồm “số nhận dạng thiết bị duy nhất và liên tục được liên kết với từng trình duyệt cụ thể… cho phép Jumpshot và người mua bên thứ ba theo dõi các cá nhân trên nhiều miền theo thời gian”.
Jumpshot đã bán dữ liệu cho các công ty có quy mô lớn, bao gồm cả gã khổng lồ quảng cáo Omnicom. Hợp đồng năm 2017 với Omnicom có chứa các điều khoản yêu cầu Jumpshot cung cấp “Nguồn cấp dữ liệu tất cả lần nhấp” - nghĩa là tất cả các URL “được nhấp trong các phiên duyệt web của người tiêu dùng cụ thể” - cho một nửa số khách hàng ở Hoa Kỳ, Anh, Mexico, Úc, Canada và Đức của Omnicom, trên tất cả tên miền. FTC cho biết trong một thông cáo báo chí rằng Omnicom cũng được phép liên kết dữ liệu của Avast với nguồn dữ liệu của nhà môi giới dữ liệu, trên cơ sở người dùng cá nhân. Hợp đồng cũng cho phép Omnicom truyền, tiếp thị và cấp phép lại cho khách hàng của mình các sản phẩm có nguồn gốc từ dữ liệu thô và phí của Jumpshot trong thỏa thuận là khoảng 2 triệu USD mỗi năm.
Những người ủng hộ bảo vệ quyền riêng tư đã rất bất ngờ trước mức độ vi phạm và gọi vụ việc này là sự kiện chưa từng có từ trước đến nay.
John Davisson, Giám đốc tại Trung tâm thông tin quyền riêng tư điện tử cho biết: “Thật khó có thể nói hết về hành động của Avast. Thông tin duyệt web là một trong những dữ liệu cá nhân nhạy cảm nhất, thường mang lại những hiểu biết riêng tư mà người tiêu dùng thậm chí không chia sẻ với gia đình hoặc bạn bè”.
Việc bán dữ liệu hoạt động như thế nào
Trước khi đóng cửa, Jumpshot chưa bao giờ xóa bất kỳ dữ liệu nào mà họ tích lũy được trong sáu năm lấy dữ liệu từ công ty Avast. Đơn khiếu nại của FTC cho biết khi đóng cửa vào tháng 01/2020, Jumpshot đã lưu giữ hơn 8 petabyte thông tin duyệt web kể từ năm 2014.
Chỉ vào một mẫu ngẫu nhiên gồm 100 mục dữ liệu, FTC cho biết họ đã tìm thấy các tìm kiếm về các triệu chứng ung thư; một thông báo về việc ứng cử tổng thống của Thượng nghị sĩ Elizabeth Warren; chỉ đường trên Google Maps từ vị trí này đến vị trí khác; một liên kết đến một trang web hẹn hò của Pháp, bao gồm ID thành viên duy nhất;... Thông tin duyệt web này sau đó được ghép nối với mã nhận diện thường trực (PID), bao gồm cả việc xác định thiết bị truy cập của mỗi người tiêu dùng.
Điều gì sẽ xảy ra tiếp theo
Khoản tiền phạt 16,5 triệu USD đi kèm với một số điều kiện nhằm ngăn Avast và các công ty con của họ lừa dối người tiêu dùng về cách xử lý dữ liệu. Những điều kiện này, được FTC đề xuất bao gồm:
Quốc Trường
(Theo The Hacker News)
09:00 | 29/01/2024
09:00 | 09/01/2024
14:00 | 30/11/2023
14:00 | 11/10/2024
Theo báo cáo từ Bloomberg và Reuters, Ukraine đã lên tiếng nhận trách nhiệm về vụ tấn công mạng nhắm vào Công ty truyền thông nhà nước Nga VGTRK và làm gián đoạn hoạt động của cơ quan này. Điều đáng chú ý, cuộc tấn công mạng diễn ra đúng vào ngày sinh nhật lần thứ 72 của Tổng thống Nga Vladimir Putin.
12:00 | 03/10/2024
Trong 6 tháng đầu năm, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) đã phát hiện và xử lý 20 sự cố tấn công mạng đặc biệt nghiêm trọng, nổi lên là hoạt động tấn công mã hoá dữ liệu, đòi tiền chuộc nhắm vào các tập đoàn, doanh nghiệp tài chính.
08:00 | 24/09/2024
Sau đây là một số dấu mốc quan trọng tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 24 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
18:00 | 29/08/2024
Chiều ngày 29/8, tại Hà Nội, Ban Cơ yếu Chính phủ tổ chức họp báo Chương trình nghệ thuật "Vinh quang thầm lặng 2024". Lấy âm nhạc làm dòng chảy chính, kết hợp tinh tế với thơ ca, múa và sự xuất hiện của các nhân chứng lịch sử, “Vinh quang thầm lặng 2024” khắc họa bức tranh toàn diện về hành trình thầm lặng nhưng đầy vinh quang của ngành Cơ yếu Việt Nam.
Trong 02 ngày 09 và 10/10, tại Hà Nội, Cục Cơ yếu Bộ Tổng Tham mưu tổ chức Hội nghị tập huấn nghiệp vụ công tác quản lý xây dựng lực lượng Cơ yếu Quân đội năm 2024. Thiếu tướng Hoàng Văn Quân, Cục trưởng Cục Cơ yếu Bộ Tổng tham mưu dự và chỉ đạo Hội nghị.
08:00 | 11/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Một vụ lừa đảo gây chấn động thị trường âm nhạc Mỹ và thế giới vừa bị phá vỡ. Cục Điều tra liên bang Mỹ (FBI) thông báo đã bắt giữ Michael Smith, 52 tuổi, một nhà sản xuất âm nhạc có tiếng tăm trên các nền tảng như Spotify, Amazon và Apple Music, với cáo buộc lừa dối và thu lợi bất chính hàng triệu USD tiền bản quyền bằng các bài hát do trí tuệ nhân tạo (AI) tạo ra.
13:00 | 09/10/2024