4 亿用户数据被售卖，著名网络安全公司“监守自盗”...

就在上个月，一份泄露的 Facebook 文件显示，扎克伯格和他的董事会与管理层，利用 Facebook 的用户数据 —— 包括好友信息、关系和照片等 —— 做为「邀请」其余公司参阅合做的筹码。

在某些状况下，Facebook 会受权合做伙伴优先访问某些特性用户数据的权利，而禁止其余竞争公司访问一样的数据。

这是摆明了把用户数据当本身的资源啊，也正由于这样，舆论对 Facebook 和扎克伯格的批判再一次到了风口浪尖，而且第一次大范围出现了「要求扎克伯格和公司二把手辞职」。社交网络上也掀起了卸载 Facebook 软件的风潮。

但咱们今天提到的这个公司，作的更过度。

一家有数十年历史的老牌网络安全公司 —— Avast，不只不能保护好用户的信息安全，还主动贩卖平台上的用户数据。

网络安全公司不只不安全，还”监守自盗“

有消息称，安装了 Avast Online Security 扩展的浏览器，大几率受到了监视，并被截取了相关的数据。该公司发布声明称攻击的目的是为了将恶意软件插入 CCleaner 软件中。攻击者攻陷了某员工的 VPN 凭证，获取了对未受多因素认证解决方案保护的某帐户的访问权限。

另据《福布斯》的报道称，Avast 正在经过售卖平台上 4 亿用户的 Web 浏览习惯而获利，这一行为最先可追溯到 2013 年。

企业介绍：Avast

来自捷克的 Avast（中文名为爱维士 ），已有数十年的历史，它在国外市场一直处于领先地位。Avast 的实时监控功能十分强大，免费版的 Avast 免费杀毒软件拥有八大防御模块：文件系统防御、网页防御、邮件防御、网络防御、P2P 防御、即时消息防御、行为防御、脚本防御。

据悉，经过 Acast 收集的数据不只包含访问的页面信息和搜索历史，还包含一些精确的浏览行为：

• 打开了多少个选项卡；
• 什么时候访问了哪些网站，停留了多长时间以及切换到的下一个页面地址；
• 页面中点击过的位置；

所说没有直接收集用户的敏感身份信息，但 Avast 仍然能够经过这些信息准确的定位到具体的用户。大量资料表示，在已知浏览历史的状况下，大多数状况下能够识别相应的社交媒体账户。

而这一系列行为，还致使该公司一些工具被其余家杀软标志为“间谍软件”。尽管反病毒提供商表示，Mozilla和Opera都很是担忧本月初从其附加商店中删除了一些Avast工具，也就是浏览器插件(可能因为其余杀软报毒)，但该公司表示正在与Mozilla合做，以使其产品从新上线。

另外一方面，Avast 也在联合第三方数据公司，对收集到的用户数据进行售卖。

据报道所说，Avast 的信息售卖流程大体是这样的：

1. 经过浏览器扩展收集数据，脱敏处理后并存储到 Avast 服务器中；
2. 数据由数据公司 Jumpshot 进行数据分析，客户购买的是数据分析后的结果。

也就是说，客户获得的并非用户的原始数据，也不是脱敏后的行为数据，而是”经过分析用户数据后，获得的用户行为分析报告“。好比访客从一个网站到另外一个网站的转化百分比。

这件事 Avast 怎么说？

据《福布斯》对 Avast 首席执行官 Ondrej Vlcek 的采访，Vlcek 称：”Avast 出售的全部用户信息都没法追溯到单个用户。“

意思就是 —— 咱们确实在卖用户的数据。

但 Vlcek 补充说：“咱们绝对不容许任何广告商或任何第三方 …… 经过 Avast 得到任何访问权限，或任何容许第三方针对特定我的的数据。”

意思就是 —— 不容许第三方卖，外面的数据都是咱们卖的。

实际上，Avast 经过卖数据转到的收入，大约能够占到总收入的 5%。资料显示 2019 年上半年的总收入约为 4.3 亿美圆。

但事情还没完。

数据售卖这件事，是用户受权的，由于每个用户都接受并签署了 Avast 提供的「隐私政策」。

咱们来看一下 Avast 的隐私政策，很是长，适用于全部 Avast 产品和网站（隐私政策内容引用自公众号：红数位，ID:reddigit）：

咱们可能会收集有关您正在使用的计算机或设备，咱们在其上运行的产品和服务的信息，并根据设备的类型，所使用的操做系统，设备设置，应用程序标识符（AI），硬件标识符来收集信息。或通用惟一标识符（UUID），软件标识符，IP 地址，位置数据，cookie ID 和崩溃数据（经过使用咱们本身的分析工具或第三方提供的通行费，例如Crashlytics或Firebase）。设备和网络数据已链接到安装 GUID。

咱们从全部用户收集设备和网络数据。咱们仅收集和保留咱们提供功能，监视产品和服务性能，进行研究，诊断和修复崩溃，检测错误以及修复安全性或操做中的漏洞所需的数据（换句话说，与您签定合同以提供服务）。

咱们的防病毒和 Internet 安全产品要求使用数据的收集才能彻底起做用。咱们收集的一些使用状况数据包括：

有关在何处使用咱们的产品和服务的信息，包括大概的位置，邮政编码，区号，时区，URL 以及与您在线访问的网站的 URL 有关的信息；

咱们使用此 Clickstream 数据为您提供恶意软件检测和保护。咱们还使用 Clickstream
数据对威胁进行安全性研究。咱们对Clickstream数据进行假名化和匿名化，而后将其从新用于跨产品直销，跨产品开发和第三方趋势分析。

换句话说，Avast 被用户受权收集并储存相关的数据，而且还保留数据的相关使用权，甚至包括将其授予未命名的第三方以进行「趋势分析」。

但这事儿，用户真的知道么？

忽忽悠悠的「隐私协议」

“中国用户愿意用隐私换便利”，这句话曾经引发巨大争议，然而根据网络上的反馈，国内外的用户其实真的就没认真看过隐私协议。

最主要的缘由是：大部分的隐私协议又臭又长，你们都看不下去啊！！！

若是说咱们来统计一下页面的「点击率」和「完读率」，隐私协议页面应该毫无争议的排名倒数第一了...由于这个页面是必点的，但基本上大部分人都是直接划到页面底部、等待倒计时结束，而后匆匆忙忙的点击「赞成」。

主要不一样意也不行啊...

对于「隐私协议」，有一个「知情赞成」原则，严格说是「知情」和「赞成」两项权利：

也就是说，用户有权知道本身将付出哪些代价、得到哪些权利，而且赞成这一协议。「知情赞成」一般是处理和利用用户数据的前提，也是法律判处的判断依据。

但实际上，由于你们都不仔细读「隐私协议」，大部分都是在「不知情」的状况下赞成的，这就会产生两个问题：

第一，企业可能借机攫夺用户对我的数据享有的权益；
其二，企业将所以始终面临数据合规层面的监管风险。

因此，除了部分居心叵测的企业外，大部分企业是但愿用户能够了解协议中具体条款内容的。而随着我的隐私意识的逐渐提高，隐私协议的规范化使用也愈来愈重要。

然而，这依然存在两个问题，须要你们一块儿来探讨：

第一，又臭又长的隐私协议，应当如何优化调整？

第二，如何培养广大用户先「知情」再「赞成」的习惯？

参考资料：

维基百科：AVAST 腾讯研究院：连美国大法官都不阅读隐私协议，“知情赞成”原则如何落地？|腾研识者 红数位：Avast 和 AVG
在线安全扩展插件正在监视您 黑鸟：一个 4 亿用户的网络安全公司，边收边卖用户数据
维他命安全：Avast遭黑客入侵，攻击者试图向CCleaner注入恶意代码；针对MSSQL v11和v12的后门skip-2.0

---

你日常会看隐私协议么？