Avast Skandalı: Avast & AVG Şirketini Artık Neden Önermiyoruz

Avast Skandalı: Avast & AVG Şirketini Artık Neden Önermiyoruz
Ben Martens
YAZAR: Ben Martens
Gönderen: 27 Nisan 2020

Okurlarımız sürekli bize mesaj atıyorlar. Ciddi bir skandala adları karışmış olmasına rağmen hala neden Avast ve AVG şirketlerine web sitemizdeki yazılım listemizde yer verdiğimizi soruyorlar. Durumu uzun süre düşündükten sonra bu şirketleri web sitemizdeki tüm listelerimizden kaldırmaya karar verdik.

Neden mi? AVG şirketinin de sahibi olan Avast, kullanıcılar açısından etik olmayan bir takım ticari uygulamalara başvurduğu iddia edildi. Bu iddiaların ortaya çıkması ise şirketin üzerine bir karabulut gibi çöktü.

Şirketin yalnızca ziyaret edilen her web siteyi değil, aynı zamanda kullanıcı konumu, arama geçmişi verileri, yaş, cinsiyet, sosyal medya kimlikleri ve hatta kişisel gönderim bilgileri gibi kullanıcı verilerini topladığı iddialarının ortaya atılmasından sonra 2019’un Aralık ayında Avast İnternet Güvenliği tarayıcı uzantısı Mozilla, Chrome ve Opera mağazalarından kaldırıldı. Tamamı uygunsuz şekilde elde edilen yaklaşık 100 milyon kullanıcı kişisel verisini sattığını belgeleyen soruşturma raporlarının ortaya çıkmasından tam üç ay sonra ise Avast, yan şirketi Jumpshot’ın faaliyetlerine son verdi.

SafetyDetectives ekibi, Avast’ı web sitemizden kaldırma kararını dikkatlice değerlendirdi. Böylesi ciddi iddialara adı karışan bir şirkete karşı inancımız kırıldı ve bu nedenle bizden artık onay alamıyorlar.

Son 7 Yıl İçerisinde Avast’ın Kullanıcı Bilgilerini Nasıl Gizlice Ele Geçirdiği İddiaları

Adblock Plus’ın kurucusu Wladimir Palant, Avast’ın yağmacı uygulamaları hakkında alarm veren ilk kişiydi. Palant, 2019’un Ekim ayında Avast’ı suçlayan bir yazıyı blogunda paylaştı. “Avast’ın, internet geçmişi bilgilerinizin tamamını ve internette gezinme tarzınızın çoğunu yeniden yapılandırmaya olanak tanıyan verileri başka kişilere verdiğini” iddia ettiği ayrıntılı bir açıklama yayınlandı.

Aslında Avast ve AVG’nin İnternet Güvenliği uzantıları, kullanıcıların hangi web siteleri ziyaret ettiğini, bu web sitelerin ne zaman ve hangi website aracılığıyla ziyaret edildiğini dosya altına alarak kullanıcının her tıklamasını kaydediyordu. Avast, yapmış olduğu bu veri toplama işleminin İnternet Güvenliği eklentisinin gerek duyduğu bir işlem olduğunu iddia etse de, rakip markaların sunduğu tarayıcı uzantıları bu kadar büyük miktarda kişisel veri toplamadan da işini gayet iyi yapıyordu.

Sonrasında ise bu verilerin Home Depot, Google ve Pepsi gibi büyük kurumsal müşterilere Jumpshot adlı bir Avast yan kuruluşu aracılığıyla satıldığına dair kamu açıklaması yapıldı.

Avast’ın Yan Kuruluşu Milyonlarca Dolar Kazanç Elde Etmek İçin Kullanıcı Verilerini Sattı

2013’te Avast “anonim” kullanıcı verilerini toplayan ve bu verileri internet üzerinde faaliyet gösteren işletmelere satan Jumpshot firmasını satın aldı. Jumpshot’ın kamusal bilgiler ile ilgili tavrı zaten hep muğlaktaydı, ancak şirketin “internet üzerinden alışveriş yapan 100 milyon bireyin ve 40 milyon uygulama kullanıcısının” tıklama verisini topladığı iddia edildi. Jumpshot’ın kullanıcı verileri kaynağı aslında Avast ve AVG’nin İnternet Güvenlik Tarayıcısı uzantıları içerisinde gömülü bir casus yazılım barındırıyordu. Palant ise bu skandalın ortaya çıkmasındaki başkahramandı, ancak Jumpshot’ın mezarını hazırlayan şey ise 2020 yılının başlarında VICE Motherboard tarafından kaleme alınan bu yazıydı. Bu yazı da, Jumpshot’tan veri satın alan şirketler, ihbarcı ifadesi ve Jumpshot’tan sızdıran şirketler içi belgelerle birlikte detaylı şekilde kamuya sunuldu. Jumpshot, şirketlere sattıkları verilerin “Kişisel Tanımlayıcı Bilgi” tanımında olmadığını iddia etti, ancak bu iddia birçok uzman tarafından ikna edici bulunmadı.

Yapılan soruşturmaya göre, Avast İnternet Güvenliği aracını kullanan bireylerin gerçekleştirdiği tıklamalarla elde edilen bilgiler ve kullanıcıların IP adresleri üzerinden toplanan zaman damgaları (milisaniyeyelik), ülke, şehir ve posta kodu gibi bilgiler, Jumpshot’ın topladığı veriler arasında yer alıyordu. E-posta adresleri ve sosyal medya profilleri gibi belirli verileri sansürlemek için tasarlanan algoritmanın kötüye kullanıldığı Palatant tarafından açığa çıkartıldı — bireylerin adları ve ev adresleri de dahil olmak üzere posta şirketlerinden elde edilen gönderi bilgilerinin tamamı; Jumpshot tarafından satılan veri paketlerinde yer alıyordu.

ABD Senatörleri ve Araştırmacı Gazeteciler Avast’ı Durumdan Mesul Tuttu

Siber güvenlik, ağ tarafsızlığı ve dijital gizlilik gibi konuların ünlü bir savunucusu olan Oregon Senatörü Ron Wyden Avast’ı, 2019’ın Aralık ayında kamuya ifşa etti ve Twitter’da şunları söyledi: “Amerikalılar siber güvenlik ve gizlilik yazılımlarının verilerini pazarlamacılara satmasını değil, verilerini korumasını bekliyor. Avast ve bu şirketin tüketicilerin verilerini korumadaki başarısızlığı ile alakalı bu rahatsız edici raporu inceliyorum.”

Chrome, Mozilla ve Opera web mağazalarından kaldırıldıktan sonra Avast, gizlilik kurallarını hiçe sayan bu yöntemlerden vazgeçme ve saygın bir siber güvenlik şirketi gibi davranma fırsatı buldu. Aralık ayının sonunda ise web mağazalarına yönlendirme yapan İnternet Güvenlik tarayıcı uzantısındaki gizlilik ayarları üzerinde değişikliğe gittiler. Ancak, VICE Motherboard’un açığa çıkardığı şekilde, kurulum işlemi sırasında veri toplama “isteği” sorusunu gömülü olarak yerleştirerek veri toplama işlemlerini ana antivirüs yazılımı paketine de taşıdılar.

VICE Motherboard’un kaleme aldığı yazının yayınlanması ve kamunun duruma onay vermemesi nedeniyle Avast, 2020’nin Şubat ayında nihayet Jumpshot’ın faaliyetlerine tamamen son verildi. Ancak SafetyDetective ve diğer siber güvenlik dünyasındaki pek çok kişi için bu eyleme çok geç kalınmıştı. Kullanıcı verilerini gizlice 7 yıl kötüye kullanmaları durumu antivirüs yazılımı tarihindeki en büyük ahlak dışı ihlallerden biri haline getirmektedir.

Virüsten Koruma Şirketlerinin Ahlak Dışı İhlalleri Neden Bu Kadar Ciddi Anlam İfade Ediyor?

Virüsten koruma yazılımları, etrafımızdaki en istilacı yazılımlar arasındadır. Virüsten koruma yazılımlarımıza sistemimiz üzerinde benzeri görülmemiş şekilde erişim imkanı sağlarız — önemli dosyalarımız, tarama geçmişi verilerimiz, finansal bilgilerimiz ve kişisel ağlarımız virüsten koruma programımız tarafından tespit edilebilmektedir. Hukuk diliyle yazılmış yazıların tamamında gömülü olarak gizlenmiş aldatıcı bir dilin olmadığını düşünerek önümüze sunulan gizlilik politikalarını ve kullanıcı sözleşmelerini imzalıyoruz. Müşterilerinin gizliliğini bu şekilde ihlal ederek Avast dünya genelindeki kullanıcılar ve virüsten koruma ürünleri arasındaki bu güzel ilişkiye zarar verdi. Zaten başımızda bilgisayar korsanları ve istilacı hükümetler gibi endişe duymamız gereken yeterince tehdit bulunuyor — bir de başımıza antivirüs sağlayıcılarının ortaya çıkardığı güvenlik tehditini eklememeliyiz.

Jumpshot resmi olarak kapatıldı ve Avast İnternet Güvenlik aracı daha sıkı gizlilik korumaları eşliğinde Chrome ve Mozilla web mağazalarına geri döndü. Ancak Avast’ın kullanıcı verilerini 7 yıl boyunca ahlak dışı bir şekilde kullanarak kazanç sağladığı gerçeği ise akıllarda kaldı. Wladimir Palant’ın kamuya yapmış olduğu röportaj ve VICE Motherboard’un araştırmacı gazetecileri şirkete engel olan güçtü. Şayet bağımsız çalışanlar, bu ciddi ihlalleri titizlikle belgelememiş ve halkı bilgilendirmemiş olsaydı, Avast’ın hala bu aldatmacayı devam ettiriyor olacağını düşünüyoruz. ABD Senatörünün yaptıklarıyla yüzleşmeleri için harekete geçmesinin ardından Avast’ın uygulamalarını değiştirmeyi düşündüğü bile tartışmaya açık bir konudur.

Kullanıcılardan Gelen Geri Bildirimler Avast’ı SafetyDetectives’ten Kaldırmamıza Neden Oldu

SafetyDetectives’te, yıllarca Avast ile ilgili bir dizi sorun yaşadık — yaptığımız olumsuz bir incelemenin ardından bize vermiş oldukları reklamları web sitemizden kaldırdılar. Biz yine de şirketlerin sitemize kazanç sağlayıp sağlamadığını göz önüne almadan size piyasadaki en iyi siber güvenlik ürünlerini sunmak için her daim çaba gösterdik. Bu nedenle de, Avast ve AVG’yi listelerimizden kaldırmadık – hatta şirketin mobil antivirüs yazılımını en iyi programlar listemizde 1 numaraya aldık:

Virüsten Koruma Şirketlerinin Ahlak Dışı İhlalleri Neden Bu Kadar Ciddi Anlam İfade Ediyor?

Ancak, son 7 yıl içerisinde şirketin yapmış olduğu bu rahatsızlık veren kullanıcı gizliliği ihlalleri nedeniyle artık Avast’ı veya herhangi bir yan kuruluşunu (AVG gibi) web sayfamızda teşvik etmeyeceğiz.

Uzun zamandır böyle bir hamle yapmayı düşünüyorduk. Birçok üst düzey inceleme sitesi Avast’ı tanıtmaya ve bu tanıtımlardan kazanç sağlamaya devam etse de, biz bir süredir bu yazılımları listemizden çıkarıyoruz. Bize bu kararı almaya iten güç, okuyucularımızın bize gönderdiği şu bildirimler oldu: “AVAST’ın veri satış olayından sonra, bu yazılım herhangi bir olumlu inceleme veya öneri almamalıdır.”

Tamamen katılıyoruz. Böylesi gizlilik ihlalleri, temel insan hakları kurallarına inanan her birey için rahatsız edici bir durum olacaktır. Bu nedenle, bilgisayar kullanıcılarının böylesi sorunlardan kurtulmaları ve bilgisayarlarını güvenilir bir virüsten koruma yazılımı ile korumaları çok önemlidir.

Kendimizi bu şekilde korumak her daim kolay olmayacak, ancak haklarımızı ihlal ettiklerinde büyük şirketlere karşı durmak önem ifade ediyor. SafetyDetectives, yaşadığımız bu dijital çağda dünyanın her yerindeki insanlara ait verileri güvende tutmaya yardımcı olacak araçlar sağlamak amacıyla kuruldu — dünyanın her yerindeki bilgisayar kullanıcılarını Avast gibi kullanıcılarını çok az önemseyen şirketlerden, bilgisayar korsanlarından, ahlak dışı faaliyetler yürüten hükümetlerden ve hatta saldırgan siber güvenlik şirketlerinden korumayı amaçlıyoruz.

Avast birçok büyük web mağazasına geri dönüş yaptı. Şirketin 400 milyonluk kullanıcısının bir çoğu şirketin yapmış olduğu bu ahlak dışı ihlallerden habersiz ve şirketin yazılımlarını bu şekilde kullanmaya devam ediyor olsa da, SafetyDetectives ekibi olarak hepimiz inandığımız konularda kararlı olduğumuz için gurur duyuyoruz.

Yani, web sitemizde Avast veya AVG’den neden bahsedilmediğini merak ediyorsanız, sebebi bu nedenledir.

Verilerinizi çalmayacak ve Pepsi’ye satmayacak bir virüsten koruma yazılımına ihtiyacınız varsa 2020 yılının en iyi antivirüs yazılımları listemize göz atabilirsiniz.