Avast riskerar böter efter att ha sålt känslig användardata

Antivirusleverantören Avast riskerar böter på 16,5 miljoner dollar efter att ha ertappats med att lagra och sälja information om sina kunder utan att de gett sitt samtycke. Federal Trade Commission, FTC, som är den amerikanska motsvarigheten till Konkurrensverket och Konsumentverket, offentliggjorde uppgifterna under torsdagen och meddelade att Avast härmed förbjuds att sälja användardata i kommersiella syften.

Enligt FTC ska Avast ha samlat in information om sina användares surfvanor från åtminstone 2014 till 2020 via sitt antivirusprogram och webbläsartillägg. Uppgifterna som samlats in med syfte att säljas vidare till tredje part innefattar religiös övertygelse, hälsoproblem, politiska åsikter och finansiell status. Företaget lagrade sedan denna information "på obestämd tid" och sålde den till över hundra externa aktörer utan kundernas vetskap.

Det är inte första gången Avast granskas. Motherboard och Pcmag uppmärksammade Avasts integritetspolicy redan 2020. Det ledde till att Avast stängde ner dotterbolaget Jumpshot, som samlat in och sålt vidare användardatan. Även om Avast sa att de tog bort information som kunde identifiera användarna innan de sålde datan, fann FTC att de misslyckats med att tillräckligt anonymisera konsumenternas webbinformation. I stället sålde man data med unika identifierare för varje webbläsare, vilket avslöjade besökta webbplatser, tidsstämplar, vilken typ av enhet och webbläsare som användes samt plats.

I ett uttalande i The Verge slog dock Avast talesperson Jess Money fast att företaget fortsatt är måna om att stärka och skydda människors digitala liv.

Även om vi inte håller med om FTC:s anklagelser och redogörelse av händelserna, är vi nöjda över att lösa detta ärende och ser fram emot att fortsätta tjäna våra miljontals kunder runt om i världen. – Jess Money, Avast.

Förutom böter på 16,5 miljoner dollar förhindrar FTC:s föreslagna beslut Avast från att ge en felaktig bild av vad man gör med den data man samlar in. Avast måste sluta "sälja eller licensiera surfdata" från Avast-produkter till annonsörer, samt radera all surfdata som Jumpshot har fått tillgång till. Avast måste också meddela berörda kunder att deras data har sålts utan deras vetskap.