A Comissão Federal de Comércio dos EUA (FTC) impôs ao fornecedor de antivírus Avast uma multa de US$ 16,5 milhões por acusações de que a empresa vendeu os dados de navegação dos usuários para anunciantes, após alegar que seus produtos bloqueariam o rastreamento online.
Além disso, a empresa foi proibida de vender ou licenciar qualquer dado de navegação na web para fins publicitários.
Ela também terá que notificar os usuários cujos dados de navegação foram vendidos a terceiros sem o seu consentimento.
A FTC, em sua queixa, disse que a Avast "coletou injustamente as informações de navegação dos consumidores por meio das extensões de navegador da empresa e do software antivírus, armazenou-as indefinidamente e as vendeu sem aviso adequado e sem o consentimento do consumidor".
A comissão também acusou a empresa sediada no Reino Unido de enganar os usuários, alegando que o software bloquearia o rastreamento de terceiros e protegeria a privacidade dos usuários, mas não os informou que venderia seus "dados de navegação detalhados e reidentificáveis" para mais de 100 terceiros por meio de sua subsidiária, a Jumpshot.
Além disso, os compradores de dados poderiam associar informações não pessoalmente identificáveis com as informações de navegação dos usuários da Avast, permitindo que outras empresas rastreassem e associassem os usuários e seus históricos de navegação com outras informações que já possuiam.
A prática enganosa de privacidade de dados veio à luz em janeiro de 2020 após uma investigação conjunta da Motherboard e da PCMag, que denunciaram o Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast e Intuit como alguns dos "clientes passados, presentes e potenciais" da Jumpshot.
Um mês antes, os navegadores web Google Chrome, Mozilla Firefox e Opera removeram os complementos de navegador da Avast de suas respectivas lojas, com pesquisas anteriores do pesquisador de segurança Wladimir Palant em outubro de 2019, classificando essas extensões como spywares.
Os dados, que incluem pesquisas do Google de um usuário, consultas de localização e rastro na internet, foram coletados por meio do programa antivírus Avast, instalado no computador de uma pessoa, sem buscar o seu consentimento informado.
"Dados de navegação [vendidos pela Jumpshot] incluíam informações sobre pesquisas na web dos usuários e as páginas da web que eles visitaram - revelando crenças religiosas, preocupações com a saúde, inclinações políticas, localização, situação financeira, visitas a conteúdo direcionado a crianças e outras informações sensíveis ", alegou a FTC.
A Jumpshot se descreveu como a "única empresa que desbloqueia dados de jardins murados" e afirmou ter dados de até 100 milhões de dispositivos em agosto de 2018.
Diz-se que as informações de navegação foram coletados desde pelo menos 2014.
O escândalo de privacidade levou a Avast a "encerrar a coleta de dados da Jumpshot e encerrar as operações da Jumpshot, com efeito imediato".
Desde então, a Avast se fundiu com outra empresa de cibersegurança, a NortonLifeLock, para formar uma nova empresa mãe chamada Gen Digital, que também inclui outros produtos como AVG, Avira e CCleaner.
"Avast prometeu aos usuários que seus produtos protegeriam a privacidade de seus dados de navegação, mas entregou o oposto", disse Samuel Levine, diretor do Bureau de Proteção do Consumidor da FTC.
"As táticas de vigilância de isca e troca da Avast comprometeram a privacidade do consumidor e violaram a lei."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...