סקנדל Avast: מדוע הפסקנו להמליץ על Avast ו-AVG

בן מרטנס
פורסם בתאריך: 21 באפריל 2020
סקנדל Avast: מדוע הפסקנו להמליץ על Avast ו-AVG

קוראינו התחילו לשלוח לנו הודעות ובהן שאלו מדוע אנחנו עדיין מדרגים את Avast ו-AVG באתר שלנו, למרות שנתפסו בסקנדל רציני ביותר. ובכן, לאחר מחשבה מרובה ותחלופת הודעות בין מחלקות שונות, החלטנו להסיר את התוכנות הללו מכל הרשימות שלנו.

מדוע? משום ש-Avast — אשר מחזיקה בבעלות גם על AVG — נתפסה בשערורייה במהלך החודשים האחרונים תחת האשמות כבדות של מחסור באתיקה עסקית.

הרחבת Avast Online Security לדפדפן נמחקה מהשווקים המקוונים של Mozilla, Chrome, ו-Opera בדצמבר 2019 לאחר טענות על כך שאספה כמויות חשודות של מידע ממשתמשים — לא רק על כל אתר שביקרו בו, אלא גם על על מיקומם, היסטורית החיפושים שלהם, גילם, מגדרם, זהויות המדיה חברתית שלהם ואפילו כתובות מגורים ודואר. שלושה חודשים לאחר מכן, Avast חיסלה את חברת הבת שלה, Jumpshot, לאחר שנחשפו דיווחי חקירה אשר תיעדו את המכירה של מידע אישי מקרוב ל-100 מיליון משתמשים שנאסף באיכון בלתי ראוי.

צוות SafetyDetectives שקל בזהירות את ההחלטה למחוק את Avast מהאתר שלנו במשך השבועות האחרונים. בסופו של יום, כל חברה שנחשפת להאשמות כאלו איבדה את בטחוננו ולא יכולה לקבל מאיתנו חותמת אמינות.

זו הדרך שבה Avast רגלה כביכול אחר משתמשיה ב-7 השנים האחרונות

וולדימיר פלנט — מייסדה של Adblock Plus — היה הראשון להשמיע אזהרות לגבי הפרקטיקות הנצלניות של Avast. באוקטובר 2019, הוא פרסם מידע מרשיע בבלוג שלו עם הסבר מפורט לגבי הדרך בה הוא טוען ש-Avast הייתה מסוגלת “להזרים נתונים שאפשרו להרכיב מחדש את כל היסטוריית הגלישה שלך ומרבית מנוהגי השימוש שלך ברשת”.

למעשה, הרחבות Avast ו-AVG Online Security הקליטו כל לחיצה של המשתמשים שלהן — תיעדו באילו אתרים ביקרו, מתי ומהיכן. בזמן ש-Avast טענה שאיסוף הנתונים היה חלק הכרחי מפלאגין Online Security, הרחבות לדפדפן ממותגים מתחרים הצליחו לעבוד בסדר גמור ללא איסוף ושמירה של כמות גדולה כל כך של מידע אישי.

ואז הגיעה החשיפה שיתכן והמידע הזה נמכר לענקי תעשיה כגון Home Depot, Google, ו-Pepsi, דרך חברת בת של Avast הנקראת Jumpshot.

חברת בת של Avast מכרה נתונים אישיים של משתמשים עבור רווח של מיליוני דולרים

בשנת 2013, Avast רכשה את Jumpshot, חברה שאספה מידע משתמשים “אנונימי” ומכרה את המידע לעסקי אונליין. המידע הפומבי של Jumpshot היה עמום ביותר, אך הם טענו שהשיגו “מידע על תבנית הקלקות ממעל 100 מיליון משתמשים ו-40 מיליון משתמשי אפליקציות”. המקור של נתוני המשתמשים של Jumpshot היה תוכנת הריגול אשר הותקנה בהרחבות האבטחה לדפדפן של Avast ו-AVG. פלנט היה הכוח המניע מאחורי החשיפה, אבל המסמר האחרון בארון של Jumpshot היה המאמר הזה שפורסם ב-VICE Motherboard, במהלך החלק המוקדם של שנת 2020. הוא מספק רשימה של התאגידים אשר רכשו מידע מ-Jumpshot יחד עם מידע של חושפי שחיתויות ומסמכים פנימיים שהודלפו מ-Avast ו-Jumpshot. Jumpshot טענה כי “מידע מזהה אישי” לא היה כלול במידע שמכרו, אך מומחים רבים לא השתכנעו.

לפי ממצאי החקירה, המידע של Jumpshot כלל כל לחיצה אשר בוצע על ידי משתמשי Avast Online Security יחד עם חותמת זמן (מדויקת לרמת מילישנייה), מדינה, עיר, וכתובת מיקוד שנאספה מכתובות ה- IP של משתמשים. האלגוריתם אשר תוכנן על מנת לצנזר מידע ספציפי כגון כתובות מייל ופרופילים במדיה חברתית נחשף על ידי פלנט שהראה כי הוא לא מתפקד באופן חמור — מידע על כתובות משלוח מחברות שליחויות, כולל שמות וכתובות בתים, נכללו במידע שנמכר על ידי Jumpshot.

סנטורים מארה”ב ועיתונאים חוקרים מטילים את האשמה על Avast

הסנטור רון ווידן מאורגון, מקדם ידוע של אבטחת סייבר, ניטרליות רשת ופרטיות דיגיטלית, תקף את Avast בצורה פומבית במהלך דצמבר 2019, כאשר הוא כתב בטוויטר כי, “אמריקאים מצפים מתוכנות הגנת סייבר ופרטיות להגן על המידע שלהם ולא למכור אותו למשווקים. אני בוחן את הדיווחים המטרידים בנוגע ל-Avast וכישלונה להגן על המידע של משתמשיה”.

ואז, לאחר ההסרה מחנויות האפליקציות של Chrome, Mozilla, ו-Opera, הייתה ל-Avast ההזדמנות לזנוח את דרכי הפרת הפרטיות שלהם ולהתחיל להתנהג באופן מכובד כחברת הגנת סייבר הגונה. הם שינו את הגדרות הפרטיות של הרחבת הדפדפן Online Security, אשר הושבה לחנויות בסוף דצמבר. אולם, כשם שכתבת חשיפה של VICE Motherboard הראתה, הם פשוט הזיזו את מאסף הנתונים לתוכנת האנטי-וירוס הראשית שלהם, כאשר החילו את מאסף הנתונים כאפשרות בתהליך ההתקנה.

עם פרסום המאמר ב-VICE Motherboard, וכאשר הם חשופים לגינוי פומבי נרחב, Avast חיסלה את Jumpshot לחלוטין בפברואר 2020. אולם עבור SafetyDetectives, ועבור רבים אחרים בעולם אבטחת הסייבר, זה היה מאט מדי ומאוחר מדי. 7 שנים של רווח סמוי ממידע של משתמשים הופך את האמור לאחד המחדלים האתיים הגדולים בהיסטוריה של תוכנות האנטי-וירוס.

למה מחדלים אתיים של תוכנות אנטי-וירוס הם רציניים במיוחד

תוכנות אנטי-וירוס הן מהתוכנות היותר פולשניות שקיימות. אנחנו נותנים לתוכנות האנטי-וירוס שלנו גישה חסרת תקדים למערכות שלנו — קבצים רגישים, היסטורית גלישה, מידע כלכלי, ורשתות פרטיות אשר כולן גלויות לאנטי-וירוס שלנו. אנו חותמים על פוליסות פרטיות והסכמות משתמש עם ההנחה שאין תרמית בניסוח אשר קבורה בנבכי המסמכים המשפטיים. על ידי כך שהפרו את פרטיות המשתמשים בצורה כזו, Avast שחקה את מערכת היחסים בין משתמשים ומוצרי אנטי-וירוס מסביב לעולם. ישנם מספיק איומים מצד האקרים וממשלות פולשניות לדאוג מהם — ספקי אנטי-וירוס לא צריכים להיות עוד איום לבטיחות המשתמש.

Jumpshot נסגרה באופן רשמי, ו-Avast Online Security חזרה לחנויות המקוונות של Chrome ו-Mozilla, עם הגנת פרטיות הדוקה יותר. אך העובדה נשארת ש-Avast הרוויחה בצורה לא אתית מהמידע של משתמשיה במשך 7 שנים, והדבר היחיד שמנע מהם להמשיך הוא חשיפה אזרחית של ולדימיר פלנט והעיתונאים החוקרים של VICE Motherboard. לדעתנו, אם מקצוענים עצמאיים לא היו מתעדים באופן שיטתי את ההפרות הרציניות הללו ומיידעים את הציבור, Avast עדיין הייתה ממשיכה בתרמית. ניתן אפילו להגיד ש-Avast שקלה ברצינות לשנות את הפרקטיקות שלהם לאחר שסנטור מארה”ב הכניס את עצמו לדיון כדי להתעמת איתם.

חוות דעת ממשתמשים נתנה לנו את ההשראה להסיר את Avast מ-SafetyDetectives

לנו ב-SafetyDetectives היו בעיות אחרות עם Avast לאורך השנים — בעקבות הביקורת השלילית שנתנו להם, הם משכו את הפרסום שלהם מהאתר שלנו. אולם, תמיד טרחנו להציג בפניכם את מוצרי אבטחת הסייבר הטובים ביותר שישנם ברשת, ללא הקשר ליחסים העסקיים ששומרים את האתר שלנו רווחי. לכן תמיד כללנו את Avast ו-AVG ברשימות שלנו — אפילו שמרנו אותם במקום הראשון בבחירות שלנו באנטי-וירוסים למכשירים ניידים:

למה מחדלים אתיים של תוכנות אנטי-וירוס הם רציניים במיוחד

אולם, בהינתן הפרות בוטות כל כך של פרטיות משתמשים אשר שנו על עצמן במהלך 7 שנים, איננו יכולים להמשיך ולקדם את Avast או מי מחברות הבת שלהן (כגון AVG) באתר שלנו.

שקלנו צעדים כאלו למשך זמן רב. למרות שרבות מהביקורות הפופולריות ביותר באתר שלנו ממשיכות לקדם — ואף להרוויח — מ-Avast, הסרנו אותם באופן עקבי מהרשימות שלנו במשך זמן רב. המוטיבציה האולטימטיבית שלנו הייתה המשוב שקיבנו מקוריאנו עם הודעות כאלו: “אחרי תקרית מכירת התונים מ-AVAST, התוכנה הזו לא צריכה לקבלת חוות דעת חיובית או המלצה”.

אנחנו מסכימים לחלוטין. סוגים כאלו של הפרות פרטיות צריכות להטריד כל מי שמאמין בזכויות אדם בסיסיות. לכן חשוב למשתמשי מחשבים להישאר מעודכנים לגבי הנושאים הללו ולהגן על המחשבים שלהם עם תוכנות אנטי-וירוס אמינות.

זה לא תמיד הדבר הקל או הפופולארי לעשות, אבל לעמוד בפני חברות ענק כאשר הן מפירות את זכויותינו זה דבר חשוב. SafetyDetectives נוסדה בכוונה לספק לאנשים מסביב לעולם כלים לשמור על המידע שלהם בטוח בעידן הדיגיטלי — בטוח מפני האקרים, ממשלות לא אתיות, ואפילו חברות אבטחת סייבר טורפניות כגון Avast שהראו כמה מעטה האכפתיות שלהן כלפי משתמשיהן.

אף על פי ש-Avast חזרה למרבית מחנויות הרשת הגדולות, ורבים מ-400 מיליון המשתמשים שלה ממשיכים להשתמש בתוכנה של החברה כאשר אינם ערים להפרות האתיות שביצעה, כולנו בצוות SafetyDetectives מרגישים גאים לעמוד איתנים מאחורי העקרונות שלנו.

לפיכך, אם אתם תוהים מדוע אין אזכור של Avast או AVG באתר שלנו, זו הסיבה.

אם אתם צריכים אנטי-וירוס שלא יגנוב את המידע שלכם וימכור אותו לפפסי, בדקו את הרשימה שלנו עבור תוכנות האנטי-וירוס הכי טובות לשנת 2020.

אודות המחבר

בן מרטנס
בן מרטנס
Cybersecurity journalist

אודות המחבר

בן מרטנס הוא עיתונאי אבטחת סייבר בעל רקע באתיקת רשת, בחינת תוכנות זדוניות ומדיניות פומבית. הוא שוכן באורגון, וכשהוא לא עוסק בהגנה זכויות משתמשים ברשת, הוא מטייל עם כלבו וממציא סיפורים עם בתו.