上周四，美国联邦贸易委员会（Federal Trade Commission，FTC）对网络安全公司Avast处以了1650万美元罚款，由头是该公司跟踪用户数据并向第三方出售。

Avast是一家全球知名的杀毒软件公司，最初创立于20世纪80年代末的捷克斯洛伐克，发展壮大后与另一家知名网络安全公司NortonLifeLock合并，组成了一个名为Gen Digital的新母公司，该公司旗下还有AVG、Avira和CCleaner 等产品。

FTC在新闻稿中表示，自2014年至2020年，Avast通过其杀毒软件和浏览器扩展来收集消费者的浏览信息（包括搜索和访问的网页内容，涉及宗教信仰、健康问题、政治倾向、地理位置、财务状况等敏感信息）。超过8000TB的浏览信息被无限期地存储，并在未经客户同意的情况下由其子公司Jumpshot出售给100多个第三方（各种咨询公司、广告公司和数据经纪人），例如谷歌、Yelp、微软、家得宝、百事可乐和麦肯锡等在内的知名公司都曾是其客户，这为Avast带来了数千万美元的收入。

同时，FTC还指责Avast欺骗用户：Avast承诺其产品会保护用户隐私，实际上却在背后收集并出售用户浏览数据，而且还误导用户。Avast声称出售浏览数据前会使用一种特殊算法来剥离识别信息。但FTC调查发现，这些浏览数据并没有充分匿名化，而且Jumpshot甚至向客户提供跟踪特定用户的服务。例如Jumpshot与广告公司Omnicom签订的一份合同显示，Jumpshot会为Omnicom提供其在美国、英国、墨西哥、澳大利亚、加拿大和德国的50%客户的“All Clicks Feed”。

最终，Avast支付1650万美元的罚款与FTC达成了和解，Avast在一份声明中表示：“FTC对Avast过去向其Jumpshot子公司提供客户数据的调查已得到解决，该子公司在2020年1月自愿关闭。我们致力于我们的使命，即保护并赋予人们数字生活的力量。虽然我们不同意FTC对事实的指控和描述，但我们很高兴解决这个问题，并期待继续为全球数百万客户提供服务。”

编辑：左右里

资讯来源：FTC、X

转载请注明出处和本文链接

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。