Escândalo da Avast: Por que paramos de recomendar os produtos Avast e AVG

Escândalo da Avast: Por que paramos de recomendar os produtos Avast e AVG
Ben Martens
Publicado em: 17 de abril de 2020

Temos recebido mensagens dos nossos leitores, perguntando por que ainda estamos colocando o Avast e o AVG nos rankings do nosso site, apesar desses dois antivírus estarem envolvidos em um sério escândalo. Após refletirmos muito e dialogarmos entre departamentos de nossa empresa, decidimos finalmente removê-los de todas as nossas listas.

Por quê? Porque a Avast — que também é dona da AVG — se envolveu em uma controvérsia inflamada ao longo dos últimos meses em relação a sérias alegações de práticas de negócios antiéticas.

A extensão para o navegador Avast Online Security foi retirada das lojas do Mozilla, Chrome e Opera em dezembro de 2019, após alegações de que a empresa estava reunindo uma quantidade suspeita de dados de usuários — não só de cada site visitado, mas também a localização do usuário, histórico de buscas, idade, gênero, identidades nas redes sociais, e até endereços (informações de frete). Três meses depois, a Avast fechou sua empresa subsidiária, a Jumpshot, após matérias investigativas documentarem a venda de dados pessoais de cerca de cem milhões de usuários, obtidos através da vigilância inadequada dos seus usuários.

A equipe do SafetyDetectives refletiu cuidadosamente sobre a decisão de apagar o Avast de nosso site ao longo das próximas semanas. No fim das contas, uma empresa que enfrenta alegações tão sérias perdeu nossa confiança e não pode receber nosso selo de aprovação.

Saiba como a Avast supostamente vinha espionando seus usuários nos últimos sete anos

Wladimir Palant — o fundador do Adblock Plus — foi a primeira pessoa a soar o alarme sobre as práticas predatórias da Avast. Em outubro de 2019, ele postou as informações incriminatórias no blog dele com uma explicação detalhada de como a Avast foi capaz de “transmitir dados que permitem reconstruir todo o seu histórico de navegação e muito do seu comportamento online”.

Essencialmente, as extensões do Avast e do AVG, Online Security, estavam gravando cada clique de seus usuários — documentando quais sites foram visitados, quando e de onde. A Avast declarou que a coleta de dados era necessária para o bom funcionamento do plugin Online Security, mas extensões para o navegador de marcas concorrentes parecem funcionar bem sem coletar e reter uma quantidade tão grande de informações pessoais.

Então, foi divulgado que esses dados estavam sendo vendidos para grandes clientes corporativos, como a Home Depot, Google e Pepsi, através de uma empresa subsidiária da Avast, chamada Jumpshot.

A subsidiária da Avast vendeu dados de usuários por milhões de dólares

Em 2013, a Avast adquiriu a Jumpshot, uma empresa que agregava dados “anônimos” de usuários e vendia-os para empresas online. As informações públicas da Jumpshot eram muito vagas, mas eles afirmavam ter obtido “dados de clickstream de 100 milhões de compradores online e de 40 milhões de usuários de aplicativos”. A fonte dos dados de usuários da Jumpshot era o spyware embutido nas extensões para o navegador Online Security Browser do Avast e do AVG. Palant foi um dos maiores motivadores desta revelação, mas o golpe de misericórdia na Jumpshot foi este artigo da VICE Motherboard, publicado no início de 2020. Ele lista as corporações que compraram dados da Jumpshot juntamente com depoimentos e documentos internos vazados da Avast e da Jumpshot. A Jumpshot afirmava que “Nenhuma Informação de Identificação Pessoal” estava incluída nos dados que eles vendiam, mas vários especialistas não ficaram convencidos.

De acordo com a investigação, os dados da Jumpshot continham cada clique realizado pelos usuários da extensão Avast Online Security, juntamente com o horário do clique (precisos até o milésimo de segundo), país, cidade e código postal dos endereços IP dos usuários. O algoritmo que foi projetado para censurar dados específicos, como endereços de e-mail e perfis em redes sociais, segundo Palant, seria seriamente defeituoso — detalhes inteiros de informações de frete, de empresas transportadoras, incluindo nomes e endereços residenciais, estavam incluídos nos pacotes de dados vendidos pela Jumpshot.

Senadores dos EUA e jornalistas investigativos exigiram explicações da Avast

O senador do Oregon, Ron Wyden, um famoso defensor da cibersegurança, neutralidade de rede e privacidade digital, exigiu informações do Avast publicamente em dezembro de 2019, afirmando no Twitter que “os norte-americanos esperam que a cibersegurança e programas de privacidade protejam seus dados, não vendam seus dados para marketeiros. Estou examinando este relatório perturbador sobre a Avast e sua falha na proteção dos dados dos consumidores”.

Então, após ter seu produto removido das lojas do Chrome, Mozilla e Opera, a Avast teve a oportunidade de abandonar as práticas que violam a privacidade e começar a agir como uma empresa de cibersegurança respeitável. Eles mudaram as configurações de privacidade da extensão para o navegador Online Security, que retornou para as lojas online no final de dezembro. Mas, como o artigo da VICE Motherboard revelou, eles simplesmente moveram sua coleta de dados para o principal pacote antivírus, embutindo uma pergunta “opt-in” de coleta de dados durante o processo de instalação.

Com a publicação do artigo da VICE Motherboard e diante da unânime insatisfação pública, a Avast finalmente fechou a Jumpshot completamente em fevereiro de 2020. Mas, para o SafetyDetectives, e vários outros no mundo da cibersegurança, era tarde demais. Sete anos lucrando secretamente com os dados de usuários torna esta uma das maiores violações éticas na história dos antivírus.

Por que violações éticas de empresas de antivírus são especialmente sérias

Programas antivírus são um dos softwares mais invasivos que existem. Damos aos nossos antivírus uma quantidade sem precedentes de acesso ao nosso sistema —
arquivos sensíveis, histórico de navegação, informações financeiras e redes pessoais ficam todas visíveis para esse tipo de programa. Assinamos políticas de privacidade e termos de uso com a suposição de que não existe uma linguagem enganosa escondida nos termos legais. Mas, ao violar sua política de privacidade dessa forma, o Avast desgastou o relacionamento entre usuários e produtos antivírus ao redor do mundo. Existem ameaças suficientes de hackers e governos invasivos com os quais temos que nos preocupar — fabricantes de antivírus não deveriam ser mais uma ameaça à segurança do usuário.

A Jumpshot foi fechada oficialmente e o Avast Online Security está de volta às lojas online do Chrome e do Mozilla, com proteções mais rígidas da privacidade. Mas permanece o fato de que a Avast vinha lucrando de forma antiética com os dados de seus usuários por sete anos, e a única coisa que os deteve foi a reportagem de Wladimir Palant e os jornalistas investigativos da VICE Motherboard. Em nossa opinião, se profissionais independentes não tivessem documentado rigorosamente essas sérias violações e notificado o público, a Avast ainda estaria executando esse golpe. É até discutível o fato da Avast só ter realmente considerado mudar suas práticas depois de um senador americano confrontar a empresa.

O feedback de usuários nos inspirou a remover o Avast do SafetyDetectives

Aqui no SafetyDetectives, tivemos outros problemas com a Avast ao longo dos anos — após publicarmos uma análise negativa, eles removeram sua publicidade de nosso site. Ainda assim, sempre buscamos trazer para você os melhores produtos de cibersegurança da internet, independentemente de nossos relacionamentos de negócios com as empresas que mantêm nosso site lucrativo. Foi por isso que continuamos a incluir o Avast e o AGV em nossas listas — até os mantivemos como nossa escolha número 1 de melhor antivírus para aparelhos móveis:

Por que violações éticas de empresas de antivírus são especialmente sérias

Mas, diante de violações tão evidentes da privacidade do usuário que têm acontecido nos últimos sete anos, não podemos mais continuar a promover a Avast ou qualquer uma de suas subsidiárias (como a AVG) em nosso site.

Temos considerado fazer isso há muito tempo. Ainda que muitos dos melhores sites de avaliações continuem promovendo — e lucrando com — o Avast, temos removido-o consistentemente de nossas listas há um tempo. A motivação final para nós foi todo o feedback que recebemos de nossos leitores com mensagens como esta: “Após o incidente de venda de dados do AVAST, esse programa não deveria receber nenhuma avaliação ou recomendação positiva”.

Concordamos plenamente. Esse tipo de violação da privacidade deve ser perturbador para qualquer pessoa que acredita nos direitos humanos básicos. É por isso que é tão importante para usuários de computador permanecer à frente desses problemas e proteger seus computadores com um antivírus confiável.

Nem sempre é a coisa mais fácil ou popular a fazer, mas enfrentar grandes empresas quando elas violam nossos direitos é importante. O SafetyDetectives foi criado com a intenção de fornecer às pessoas ao redor do mundo as ferramentas para manter seus dados seguros na era digital — a salvo de hackers, governos antiéticos e até empresas de cibersegurança predatórias, como a Avast, que mostrou ao mundo como se importa pouco com seus usuários.

Apesar do Avast ter voltado para a maioria das lojas da web, e a maioria de seus 400 milhões de usuários continuar a utilizar o programa, sem saber dessas violações éticas, todos nós da equipe do SafetyDetectives temos orgulho de defender nossas convicções.

Então, se você está se perguntando por que não mencionamos o Avast ou o AVG em nosso site, é por isso.

Se você precisa de um antivírus que não vai roubar seus dados e vendê-los para a Pepsi, confira nossa lista dos melhores antivírus de 2020.