FTC cáo buộc rằng công ty con Jumpshot có trụ sở tại Mỹ của Avast đã sử dụng các tiện ích mở rộng trình duyệt và phần mềm chống virus để thu thập, lưu trữ vô thời hạn và cho phép một công ty thứ ba bán lịch sử duyệt web của người dùng từ năm 2014 - 2020 mà không có thông báo đầy đủ và sự đồng ý của người tiêu dùng.
Cơ quan này cho biết Avast cũng lừa dối người dùng bằng cách tuyên bố rằng phần mềm sẽ bảo vệ quyền riêng tư của người tiêu dùng bằng cách chặn sự theo dõi của bên thứ ba. FTC cáo buộc trong đơn khiếu nại của mình rằng Avast đã rao bán dữ liệu duyệt web chi tiết và có thể nhận dạng lại của họ cho hơn 100 bên thứ ba thông qua công ty con Jumpshot. “Có thể nhận dạng lại” có nghĩa là dữ liệu có thể được kết hợp với dữ liệu được lưu trữ công khai khác hoặc được các nhà môi giới dữ liệu tích lũy để xác định danh tính của người tiêu dùng cụ thể.
Đơn khiếu nại của FTC cho biết rằng mặc dù Avast và các công ty con của hãng này đang thông báo với khách hàng rằng phần mềm của họ sẽ chặn các cookie theo dõi gây khó chịu thu thập dữ liệu về hoạt động duyệt web của người dùng và sẽ bảo vệ quyền riêng tư của người dùng bằng cách ngăn chặn dịch vụ web theo dõi hoạt động trực tuyến. Tuy nhiên trên thực tế, Avast đã thu lợi nhuận một cách trắng trợn từ dữ liệu của người dùng mà không đưa ra thông báo thích hợp.
Người phát ngôn của Avast, có trụ sở chính thức tại Mỹ, cho biết công ty đã làm việc với FTC để giải quyết cuộc điều tra về việc Avast cung cấp dữ liệu khách hàng trước đây cho công ty con Jumpshot mà Avast đã tự nguyện đóng cửa vào tháng 01/2020.
Tuyên bố cho biết: “Chúng tôi cam kết thực hiện sứ mệnh bảo vệ và trao quyền cho cuộc sống số của mọi người”. “Mặc dù chúng tôi không đồng ý với các cáo buộc và mô tả không đúng sự thật của FTC, nhưng chúng tôi rất vui lòng giải quyết vấn đề này và mong muốn được tiếp tục phục vụ hàng triệu khách hàng của mình trên toàn thế giới.”
Khiếu nại của FTC lưu ý rằng sản phẩm của Avast nhằm mục đích mang lại sự bảo mật và quyền riêng tư, tuy nhiên sự việc này đã khiến việc vi phạm quyền riêng tư của người tiêu dùng trở nên ngày càng nghiêm trọng hơn. Việc bán dữ liệu duyệt web thực tế được thực hiện bởi công ty con Jumpshot của Avast. Jumpshot, ban đầu là nhà cung cấp phần mềm chống vi-rút, đã được chuyển đổi thành công ty phân tích sau khi được Avast mua lại vào năm 2014. Công ty đã đóng cửa Jumpshot vào năm 2020.
FTC cho biết rằng khách hàng mua thông tin của Avast bao gồm các công ty tư vấn, công ty đầu tư, công ty quảng cáo, công ty phân tích dữ liệu tiếp thị, thương hiệu cá nhân, công ty tối ưu hóa công cụ tìm kiếm và nhà môi giới dữ liệu. FTC cho biết thêm rằng: “Việc sử dụng thuật toán độc quyền do Avast và Jumpshot phát triển nhằm mục đích tìm và xóa thông tin nhận dạng trước mỗi lần chuyển thông tin duyệt web của người tiêu dùng đến máy chủ của Jumpshot. Nhưng quy trình này không đủ để ẩn danh thông tin duyệt web của người tiêu dùng, thông tin mà Jumpshot sau đó đã bán, ở dạng không tổng hợp, thông qua nhiều sản phẩm khác nhau cho bên thứ ba”.
Dữ liệu có thể nhận dạng lại cực kỳ chi tiết
Đơn khiếu nại của FTC cho biết mức độ chi tiết của dữ liệu duyệt web mà Jumpshot được cho là đã bán rất đáng kinh ngạc, bao gồm từng trang web được truy cập, dấu thời gian chính xác, loại thiết bị và trình duyệt được sử dụng cũng như thành phố, tiểu bang và quốc gia nơi người dùng sinh sống. FTC cho biết thêm rằng phần lớn dữ liệu được bán bao gồm “số nhận dạng thiết bị duy nhất và liên tục được liên kết với từng trình duyệt cụ thể… cho phép Jumpshot và người mua bên thứ ba theo dõi các cá nhân trên nhiều miền theo thời gian”.
Jumpshot đã bán dữ liệu cho các công ty có quy mô lớn, bao gồm cả gã khổng lồ quảng cáo Omnicom. Hợp đồng năm 2017 với Omnicom có chứa các điều khoản yêu cầu Jumpshot cung cấp “Nguồn cấp dữ liệu tất cả lần nhấp” - nghĩa là tất cả các URL “được nhấp trong các phiên duyệt web của người tiêu dùng cụ thể” - cho một nửa số khách hàng ở Hoa Kỳ, Anh, Mexico, Úc, Canada và Đức của Omnicom, trên tất cả tên miền. FTC cho biết trong một thông cáo báo chí rằng Omnicom cũng được phép liên kết dữ liệu của Avast với nguồn dữ liệu của nhà môi giới dữ liệu, trên cơ sở người dùng cá nhân. Hợp đồng cũng cho phép Omnicom truyền, tiếp thị và cấp phép lại cho khách hàng của mình các sản phẩm có nguồn gốc từ dữ liệu thô và phí của Jumpshot trong thỏa thuận là khoảng 2 triệu USD mỗi năm.
Những người ủng hộ bảo vệ quyền riêng tư đã rất bất ngờ trước mức độ vi phạm và gọi vụ việc này là sự kiện chưa từng có từ trước đến nay.
John Davisson, Giám đốc tại Trung tâm thông tin quyền riêng tư điện tử cho biết: “Thật khó có thể nói hết về hành động của Avast. Thông tin duyệt web là một trong những dữ liệu cá nhân nhạy cảm nhất, thường mang lại những hiểu biết riêng tư mà người tiêu dùng thậm chí không chia sẻ với gia đình hoặc bạn bè”.
Việc bán dữ liệu hoạt động như thế nào
Trước khi đóng cửa, Jumpshot chưa bao giờ xóa bất kỳ dữ liệu nào mà họ tích lũy được trong sáu năm lấy dữ liệu từ công ty Avast. Đơn khiếu nại của FTC cho biết khi đóng cửa vào tháng 01/2020, Jumpshot đã lưu giữ hơn 8 petabyte thông tin duyệt web kể từ năm 2014.
Chỉ vào một mẫu ngẫu nhiên gồm 100 mục dữ liệu, FTC cho biết họ đã tìm thấy các tìm kiếm về các triệu chứng ung thư; một thông báo về việc ứng cử tổng thống của Thượng nghị sĩ Elizabeth Warren; chỉ đường trên Google Maps từ vị trí này đến vị trí khác; một liên kết đến một trang web hẹn hò của Pháp, bao gồm ID thành viên duy nhất;... Thông tin duyệt web này sau đó được ghép nối với mã nhận diện thường trực (PID), bao gồm cả việc xác định thiết bị truy cập của mỗi người tiêu dùng.
Điều gì sẽ xảy ra tiếp theo
Khoản tiền phạt 16,5 triệu USD đi kèm với một số điều kiện nhằm ngăn Avast và các công ty con của họ lừa dối người tiêu dùng về cách xử lý dữ liệu. Những điều kiện này, được FTC đề xuất bao gồm:
Quốc Trường
(Theo The Hacker News)
09:00 | 29/01/2024
09:00 | 09/01/2024
14:00 | 30/11/2023
13:00 | 22/10/2024
Ngày 8/10, Tòa án Tối cao Brazil đã cho phép nền tảng xã hội X hoạt động trở lại tại nước này sau khi nộp phạt 5,23 triệu USD và chấp thuận tuân thủ các phán quyết của các nhà chức trách cũng như quy định pháp luật nước này.
12:00 | 21/10/2024
Báo cáo của một nhóm chuyên gia thuộc Tân Hoa xã công bố ngày 14/10 đã nêu bật những thách thức và rủi ro đối với ngành truyền thông từ việc lạm dụng công nghệ trí tuệ nhân tạo (AI).
12:00 | 15/10/2024
Trung tâm Giám sát an toàn không gian mạng quốc gia - NCSC (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) vừa có cảnh báo tới người dùng Internet Việt Nam về thủ đoạn lừa đảo đánh cắp thông tin thẻ tín dụng. Đối tượng bị nhắm tới là những người thường mua hàng qua các nền tảng mạng xã hội.
15:00 | 03/10/2024
Theo cảnh báo của Công an thành phố Hà Nội, gần đây ở Hà Nội đã xuất hiện hình thức lừa đảo trực tuyến thông qua "tặng quà tri ân" dịp 20/10. Các đối tượng lừa đảo đã giả mạo nhân viên các sàn thương mại điện tử hoặc hệ thống siêu thị nổi tiếng để thông báo và gửi quà tặng tri ân miễn phí. Sau đó, các đối tượng sẽ tiếp cận, hướng dẫn khách hàng thực hiện một số nhiệm vụ và chuyển một khoản tiền nhất định.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Suốt chặng đường 79 năm xây dựng, chiến đấu và trưởng thành (12/9/1945 - 12/9/2024), ngành Cơ yếu Việt Nam luôn xứng đáng là lực lượng đặc biệt tin cậy, cùng toàn Đảng, toàn quân và toàn dân lập nên những chiến công hiển hách trong sự nghiệp đấu tranh giải phóng dân tộc, giành độc lập, tự do, thống nhất đất nước, xây dựng và bảo vệ Tổ quốc.
11:00 | 24/10/2024
Mới đây, Eric Council Jr., 25 tuổi đã bị bắt giữ tại Mỹ do bị cáo buộc tấn công tài khoản mạng xã hội X của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) nhằm thao túng giá Bitcoin hồi đầu năm nay. Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về an ninh mạng và những rủi ro tiềm ẩn từ các cuộc tấn công mạng có chủ đích.
14:00 | 28/10/2024
Ngày 21/10, IBM đã cho ra mắt phiên bản mới nhất của các mô hình trí tuệ nhân tạo dành cho doanh nghiệp, với mục đích tận dụng sự gia tăng nhu cầu sử dụng trong các doanh nghiệp áp dụng công nghệ AI tạo sinh.
10:00 | 27/10/2024
