Cyberthreat.id - Setelah investigasi Motherboard dan PcMag baru-baru ini mengungkap adanya skandal penjualan data pengguna oleh perusahaan antivirus Avast lewat anak perusahaannya Jumpshot, Dewan Direksi Avast memutuskan menghentikan pengumpulan data sekaligus membekukan operasional Jumpshot.

Hal itu disampaikan CEO Avast Ondrej Vleok dalam sebuah postingan di situs resmi Avast bertanggal 29 Januari 2020 dengan judul,"A message from Avast CEO Ondrej Vlcek."

Dalam surat itu, Vlcek mengatakan pemberitaan terbaru tentang penjualan data pengguna Avast lewat anak perusahaannya Jumpshot,"telah menyakiti perasaan banyak dari Anda, dan secara wajar mengangkat sejumlah pertanyaan --termasuk pertanyaan mendasar tentang kepercayaan."

"Sebagai CEO Avast, saya merasa bertanggung jawab secara pribadi dan saya ingin meminta maaf kepada semua pihak," tulis Ondrej Vleck.

Disebutkan, melindungi orang adalah prioritas utama Avast dan harus tertanam dalam segala hal terkait binis dan produk Avast. Apa pun yang bertentangan dengan itu, kata dia, tidak dapat diterima.

"Untuk alasan ini, saya - bersama dengan dewan direksi kami - telah memutuskan untuk menghentikan pengumpulan data Jumpshot dan menghentikan operasi Jumpshot, dengan efek langsung," katanya.

Lebih jauh, Vlcek mengatakan, ketika memulai operasional Jumpshot pada 2015, gagasan awalnya adalah untuk memperluas kemampuan analisis data di luar bisnis inti di bidang keamanan siber.

Disebutkan, pada saat itu, semakin jelas bahwa keamanan siber akan menjadi data besar.

"Kami pikir kami dapat memanfaatkan alat dan sumber daya kami untuk melakukan ini dengan lebih aman daripada banyak perusahaan lain yang mengumpulkan data," tambah Vlcek.

Ditambahkan, Jumpshot sejak awal telah beroperasi secara mandiri dengan manajemen terpisah dari Avast, membangun produk dan layanan melalui pasokan data dari produk antivirus Avast.

Ketika Uni Eropa memberlakukan aturan perlindungan data pribadi pada 2018, klaim Vlcek, pihaknya mengacu pada aturan GDPR terkait bagaimana perlakukan data pelanggan.

Namun, sejak dirinya menjadi CEO Avast tujuh bulan lalu, Vlcek mengatakan terus mengevaluasi setiap bagian dari bisnis Avast dan sampai pada kesimpulan,"bisnis pengumpulan data tidak sejalan dengan prioritas kebijakan privasi kami sebagai perusahaan pada  2020 dan seterusnya."

Vlcek mengatakan keputusan menghentikan layanan Jumpshot memang berdampak pada ratusan karyawan dan lusinan klien yang selama ini mendapat pasokan data dari Jumpshot. Namun, katanya, keputusan telah diambil dan harus dijalankan.

"Saya sangat yakin ini akan membantu Avast fokus dan membuka potensi penuhnya untuk mewujudkan janji keamanan dan privasi. Dan saya terutama berterima kasih kepada pengguna kami, yang umpan baliknya baru-baru ini mempercepat keputusan kami untuk mengambil tindakan cepat," tulis Vlcek.

Skandal pengumpulan data pengguna dan menjualnya ke sejumlah perusahaan besar diungkap oleh investigasi media Motherboard dan PcMag baru-baru ini.

Laporan itu mengungkap bagaimana penjualan data dilakukan kepada sejumlah perusahaan besar. Dokumen yang ditemukan menyebutkan sejumlah nama besar sebagai klien Jumpshot seperti
Home Depot, Google, Microsoft, Pepsi, Unilever, Nestle, Yelp, Revlon, Omnicom Media Group dan McKinsey.

Microsoft mengatakan tidak memiliki hubungan saat ini dengan perusahaan. Yelp mengatakan Jumpshot "dilibatkan hanya sekali," dan Google tidak menanggapi permintaan komentar dari Mother board dan PGMag.

Berapa data itu dijual? Salah satu perusahaan yang membeli data 'All Clicks Feed' dari Jumpshot adalah Omnicom Media Group, perusahaan marketing yang berbasis di New York. Dalam sebuah kopian dokumen kontrak disebutkan, Omnicom membayar seharga US$ 6,56 juta atau setara Rp89,5 miliar untuk akses tiga tahun.  Untuk 2019 saja, harganya US$2.075.000. Ada pun untuk 2020 dan 2021 masing-masing harganya US$2.225.000 dan US$2.275.000.  Itu termasuk produk lain yang disebut "Insight Feed" untuk 20 domain berbeda.  
 
Dengan membayar sejumlah itu, Omnicom mendapat akses data apa saja yang diklik pengguna internet dari 14 negara termasuk Amerika Serikat, Inggris, Kanada, Australia, dan Selandia Baru. Data yang didapat mencakup jenis kelamin pengguna yang disimpulkan berdasarkan 'perilaku penelusuran', usia, dan seluruh URL yang diakses, tetapi dengan informasi pribadi yang dihapus, begitu tertulis dikontrak.

Omnicom tidak menanggapi permintaan komentar.

Menurut kontrak Omnicom, "ID perangkat" setiap pengguna disemmbunyikan, yang berarti perusahaan pembeli data tidak dapat mengidentifikasi siapa sebenarnya yang berada di balik setiap aktivitas browsing. Sebagai gantinya, produk-produk Jumpshot memberikan wawasan kepada perusahaan yang mungkin ingin melihat produk apa yang sangat populer, atau seberapa efektif kampanye iklan yang dijalankan.

Namun, benarkah data itu benar-benar tidak bisa dilacak? Belum tentu. Bisa jadi Avast atau Jumpshot memang tidak mencantumkan nama atau email seseorang. Namun riwayat pengguna dikenali dengan ID perangkat, yang akan bertahan kecuali si pengguna menghapus antivirus produk Avast dari perangkatnya.

Di bawah ini adalah contoh data yang ditampilkan.

Device ID (ID Perangkat): abc123x | Date (tanggal): 2019/12/01 | Hour Minute Second (Jam Menit Detik): 12:03:05 |  Domain: Amazon.com |  Produk: Apple iPad Pro 10.5-2017 | Model - 256GB, Rose Gold |  Behavior (tindakan): Add to Cart

Sekilas, itu tidak berbahaya dan identitas penggunanya tak terdeteksi. Kecuali anda adalah Amazon.com, yang segera dapat mengenali bahwa seseorang membeli iPad Pro pada jam 12:03:05 pada 1 Desember 2019. Walhasil, ID perangkat 123abcx dapat segera terlacak berdasarkan aktivitas tersebut.  

Pakar yang diwawancarai PcMag dan Motherboard sepakat bahwa adanya detail keterangan waktu dan nomor ID perangkat, bersama dengan kumpulan tautan URL yang disajikan, dapat dianalisis untuk mengungkap identitas pengguna.

Peneliti data pribadi yang mempelajari pelacakan secara online, Gunes Acar mengatakan, dari data Jumpshot, perusahaan dapat menggabungkannya dengan data lain, lalu melacak jejak digital seseorang.

"Mungkin data (Jumpshot) itu tidak langsung mengidentifikasi identitas seseorang. Mungkin cuma daftar ID pengguna dan beberapa tautan URL. Tapi itu selalu dapat digabungkan dengan data lain dari perusahaan lain, yang pada dasarnya dapat ditelusuri ke identitas aslinya," kata Gunes Acar.[]