Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đã phạt nhà cung cấp phần mềm chống vi-rút Avast 16,5 triệu đô la vì cáo buộc công ty bán dữ liệu duyệt web của người dùng cho các nhà quảng cáo sau khi tuyên bố các sản phẩm của họ sẽ chặn theo dõi trực tuyến.
Ngoài ra, công ty đã bị cấm bán hoặc cấp phép bất kỳ dữ liệu duyệt web nào cho mục đích quảng cáo. Nó cũng sẽ phải thông báo cho người dùng có dữ liệu duyệt web được bán cho bên thứ ba mà không có sự đồng ý của họ.
Trong đơn khiếu nại của mình, FTC cho biết Avast "thu thập không công bằng thông tin duyệt web của người tiêu dùng thông qua các tiện ích mở rộng trình duyệt và phần mềm chống vi-rút của công ty, lưu trữ vô thời hạn và bán nó mà không có thông báo đầy đủ và không có sự đồng ý của người tiêu dùng."
FTC cũng cáo buộc công ty lừa dối người dùng bằng cách nói phần mềm sẽ chặn theo dõi của bên thứ ba và bảo vệ quyền riêng tư, nhưng không thông báo sẽ bán dữ liệu duyệt web chi tiết cho hơn 100 đối tác thông qua công ty con Jumpshot. Các công ty mua dữ liệu có thể liên kết thông tin không thể nhận dạng với thông tin duyệt web của người dùng Avast, cho phép theo dõi và liên kết người dùng qua lịch sử duyệt web của họ.
Hơn nữa, người mua dữ liệu có thể liên kết thông tin không nhận dạng cá nhân với thông tin duyệt web của người dùng Avast, cho phép các công ty khác theo dõi và liên kết người dùng và lịch sử duyệt web của họ với thông tin khác mà họ đã có.
Thực tiễn bảo mật dữ liệu gây hiểu lầm được đưa ra ánh sáng vào tháng 1 năm 2020 sau một cuộc điều tra chung của Motherboard và PCMag, gọi Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast và Intuit là một số "khách hàng trong quá khứ, hiện tại và tiềm năng" của Jumpshot.
Một tháng trước, các trình duyệt Google Chrome, Mozilla Firefox và Opera đã xóa các tiện ích bổ sung của trình duyệt Avast khỏi các cửa hàng. Nhà nghiên cứu bảo mật Wladimir Palant vào tháng 10.2019 coi các tiện ích mở rộng đó là phần mềm gián điệp.
FTC cáo buộc dữ liệu duyệt web được bán bởi Jumpshot bao gồm thông tin về tìm kiếm trên web, các trang web người dùng đã truy cập, từ đó tiết lộ niềm tin tôn giáo, mối quan tâm về sức khỏe, khuynh hướng chính trị, địa điểm, tình trạng tài chính, lượt truy cập vào nội dung hướng đến trẻ em và các thông tin nhạy cảm khác.
Jumpshot tự mô tả là công ty duy nhất mở khóa dữ liệu được bảo vệ, tuyên bố có dữ liệu lên đến 100 triệu thiết bị tính đến tháng 8/2018. Thông tin duyệt web được cho là thu thập ít nhất từ năm 2014. Phản ứng về quyền riêng tư đã thúc đẩy Avast chấm dứt việc thu thập dữ liệu của Jumpshot ngay lập tức.
Avast cũng đã hợp nhất với một công ty an ninh mạng khác là NortonLifeLock để thành lập công ty mới có tên Gen Digital, cung cấp các sản phẩm nổi tiếng khác như AVG, Avira và CCleaner. Vụ việc này diễn ra gần một năm sau khi họ bị cơ quan quản lý dữ liệu của Cộng hòa Séc phạt 13,7 triệu euro vì vi phạm các quy định bảo vệ dữ liệu GDPR bằng cách thu thập và bán dữ liệu duyệt internet.