Cyberthreat.id – Perangkat lunak antivirus Avast dan anak perusahaannya AVG ketahuan melacak informasi tentang aktivitas penggunanya secara online dan menjual informasi tersebut, demikian temuan Motherboard dan PCMag yang dipublikasikan pada Senin (27 Januari 2020).

Laporan investigasi tersebut berdasarkan atas data pengguna yang bocor, perjanjian bisnis, dan dokumen perusahaan—yang menunjukkan data sensitif—yang seharusnya menjadi rahasia, tapi perusahaan malah menjualnya.

Investigasi bersama itu mengungkapkan bagaimana program antivirus Avast dan AVG gratis melacak informasi terperinci tentang apa yang dilakukan banyak penggunanya secara online.

Data yang dikumpulkan itu termasuk apa yang dicari dan diklik orang dari halaman LinkedIn hingga pencarian PornHub dan pembelian di Amazon. Informasi tersebut kemudian dikirim ke Jumpshot, anak perusahaan Avast yang menawarkan riwayat rahasia dari penjelajahan para pengguna dari 100 juta perangkat, termasuk komputer dan telepon.

Datanya sangat terperinci hingga klien dapat melihat setiap klik yang dibuat pengguna pada sesi penjelajahan mereka, termasuk waktu hingga milidetik. Klien dapat mempelahari apa yang dibeli konsumen.

Data yang dikumpulkan tidak pernah ditautkan dengan nama seseorang, email atau alamat IP dan akan tetap ada, kecuali pengguna menghapus instalan produk antivirus Avast.

Jumpshot menjual data tersebut kepada klien dari perusahaan besar hingga penyedia e-commmerce. Beberapa klien masa lalu, sekarang, dan potensial termasuk Google, Yepl, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit, dan masih banyak lagi.

Laporan itu juga menyebutkan, beberapa klien membayar jutaan dolar untuk produk yang mencakup apa yang disebut “All Clicks Feed/Umpan semua klik” yang dapat melacak perilaku pengguna, klik, dan perpindahan di situs web dengan detail yang sangat tepat.

Sekadar diketahui, Avast mengklaim saat ini memiliki lebih dari 435 juta pengguna aktif per bulan dan Jumpshot mengatakan memiliki data dari 100 juta perangkat. Artinya, Avast mengumpulkan data dari 435 juta pengguna dan kemudian menyediakannya untuk Jumpshot.

Sementara itu, beberapa pengguna Avast mengatakan, mereka tidak mengetahui kalau Avast menjual data penelusuran itu. "Saya tidak mengetahui hal ini," kata Keith, pengguna produk antivirus Avast gratis yang hanya memberikan nama depan mereka, kepada Motherboard.

Meskipun data yang dikumpulkan tidak termasuk informasi pribadi seperti nama pengguna, tetapi masih berisi banyak data penelusuran khusus, dan para ahli mengatakan kepada Motherboard bahwa ini mungkin untuk mendanomisasi pengguna tertentu.

Sebelumnya, peneliti keamanan siber dan pecipta aplikasi Adblock Plus, Wladimir Palant, menyatakan pada Oktober 2019, bahwa Avast Online Security Extension serta AVG Secure Browser memata-matai dan mengumpulkan informasi pengguna dengan plugin perusahaan di browser.

Tak lama sejak plug-in itu disebut melanggar privasi pengguna, perusahaan peramban seperti Mozilla, Opera, dan Google menghapus ekstensi Avast dan anak perusahaan AVG dari masing-masing toko ekstensi browser mereka.

Avast sebelumnya menjelaskan telah menghentikan mengirimkan data penelusuran yang dikumpulkan oleh ekstensi ini ke Jumpshot.

Namun, sumber Motherboard dan PCMag menunjukkan dokumen bahwa pengumpulan data tersebut masih berlangsung.

Alih-alih mengambil informasi melalui perangkat lunak yang terpasang pada browser, Avast melakukannya melalui perangkat lunak anti-virus itu sendiri. Pekan lalu, Avast mulai meminta konsumen untuk ikut serta dalam pengumpulan data, menurut dokumen internal yang diperoleh Motherboard dan PCMag.

"Jika mereka ikut serta, perangkat itu menjadi bagian dari panel Jumpshot dan semua aktivitas internet berbasis browser akan dilaporkan ke Jumpshot," demikian tulis sebuah buku pegangan produk internal.

Microsoft menolak mengomentari secara spesifik terkait pembelian produk dari Jumpshot. Tapi, perusahaan mengatakan bahwa kini tidak memiliki hubungan saat ini dengan Jumpshot.

Sementara, Yelp mengatakan, Jumpshot memang dilibatkan dalam bisnisnya, tapi data yang diminta dalam kondisi anonim. “Tidak ada informasi privat yang diminta atau diakses," kata Yelp.

Menurut kontrak, ID Perangkat dari setiap pengguna di-hash, artinya perusahaan yang membeli data tidak boleh mengidentifikasi siapa sebenarnya yang berada di balik setiap aktivitas browsing. Sebagai gantinya, produk-produk Jumpshot hanya memberikan wawasan kepada klien yang mungkin ingin mleihat apa yang sedang populer dan seberapa efektif kampanye iklan.

Meski data itu anonim, tidak menutup kemungkinan hal itu bisa dibuka. Pada 2006, wartawan New York Times dapat mengidentifikasi orang tertentu dari cache dari data pencarian yang seharusnya anonim yang dirilis secara publik oleh AOL. Meskipun data yang diuji lebih fokus pada tautan media sosial, sebuah studi pada 2017 dari Stanford University juga menyebutkan, adalah mungkin untuk mengidentifikasi orang-orang dari data penelusuran web anonim.

"Ketika mereka berjanji untuk tidak mengidentifikasi data, saya tidak percaya," Eric Goldman, seorang profesor di Fakultas Hukum Universitas Santa Clara.

Ketika PCMag menginstal produk antivirus Avast untuk pertama kalinya bulan ini, perangkat lunak itu bertanya apakah mereka ingin ikut serta dalam pengumpulan data.

"Jika Anda mengizinkannya, kami akan memberikan kepada anak perusahaan kami Jumpshot Inc. kumpulan data yang dilucuti dan tidak diidentifikasi yang berasal dari riwayat penelusuran Anda untuk tujuan memungkinkan Jumpshot menganalisis pasar dan tren bisnis dan mengumpulkan wawasan berharga lainnya," demikian pesan yang muncul.

Sayangnya, pesan itu tidak menjelaskan secara terperinci tentang bagaimana Jumpshot kemudian menggunakan data penelusuran tersebut.

"Data sepenuhnya tidak teridentifikasi dan teragregasi dan tidak dapat digunakan untuk mengidentifikasi atau menargetkan Anda secara pribadi. Jumpshot dapat berbagi wawasan teragregasi dengan pelanggannya," demikian isi lanjutan pesan pop-up.[]

Redaktur: Andi Nugroho