Ông phát hiện ra rằng các phần mở rộng đã gửi những thông tin lịch sử duyệt đến Avast trong đó có nhiều dữ liệu hoàn toàn không liên quan đến phân tích cung cấp bảo mật cho sản phẩm. Trong số các dữ liệu có đầy đủ danh sách địa chỉ web đã được truy cập, tiêu đề trang, tham chiếu (trang web nguồn), cũng như mọi liên kết trên các trang kết quả tìm kiếm.

Palant kết luận lại việc thu thập dữ liệu quá mức là hoàn toàn có chủ ý. Mozilla và Google đã nhanh chóng loại bỏ các tiện ích mở rộng Avast và AVG khỏi các cửa hàng tiện ích mở rộng của họ.

Một cuộc điều tra chung của trang Vice và PC Magazine đã xem xét sâu hơn các hoạt động kinh doanh của Avast xung quanh dữ liệu người dùng được thu thập. Theo thông tin, công ty con của Avast là Jumpshot đã lấy dữ liệu từ cài đặt chống vi-rút Avast trên thiết bị người dùng, xử lý nó để bán dữ liệu đã xử lý cho các công ty.

Một sản phẩm có tên gọi là All Clicks Feed sẽ cung cấp cho các công ty, khách hàng (bao gồm các tập đoàn lớn như Google, Microsoft, Pepsi, Home Depot hoặc McKinsey) thông tin rất chi tiết về hành vi người dùng, các nhấp chuột và hoạt động trên các trang web được truy cập.

Dữ liệu được ẩn danh theo Avast, có nghĩa là thông tin nhận dạng cá nhân như địa chỉ IP hoặc địa chỉ email của người dùng sẽ bị xóa khỏi dữ liệu trước khi được bán.

Mặc dù dữ liệu được ẩn danh nhưng gói dữ liệu được bán đi này có thể bao gồm ID thiết bị, đủ dễ dàng để tra cứu lịch sử duyệt web của một thiết bị cụ thể. Nó bao gồm ngày và thời gian, và thông tin về trang web đã truy cập là tốt. Và các công ty mua dữ liệu không hẳn chỉ có một nguồn dữ liệu này. Hãy tưởng tượng Google hoặc Amazon sử dụng thông tin ngày, giờ và URL để kiểm tra chéo với hoạt động của người dùng trên trang web của họ.

Nếu địa chỉ web được cung cấp trong gói dữ liệu, nó cũng có thể dễ dàng xác định người dùng. Việc truy cập vào trang chủ cá nhân trên Facebook hay các mạng xã hội khác, YouTube hoặc bất kỳ hoạt động nào khác có thể được liên kết với tài khoản sẽ cung cấp cho bên thứ ba thông tin về người dùng thực tế.

PC Magazine lưu ý rằng bộ phận Jumpshot của Avast vẫn có thể lấy dữ liệu thông qua các ứng dụng chống vi-rút chính của Avast (bao gồm cả các ứng dụng của AVG).

Hiện tại theo thông tin ngày 31/1/2020 đăng trên The Verge, Avast đã nhanh chóng đóng cửa Jumpshot. Trong một bài đăng trên blog, Giám đốc điều hành của công ty Ondrej Vlcek nói rằng Avast đã chấm dứt hoạt động thu thập và vận hành dữ liệu của công ty con Jumpshot ngay lập tức, hàng trăm nhân viên công ty này hoàn toàn có nguy cơ phải thất nghiệp.

Mặc dù Avast đã thông báo đóng cửa Jumpshot, Vlcek đã bảo vệ cách thức mà công ty thu thập dữ liệu cũng như nhấn mạnh rằng Jumpshot hoạt động như một công ty độc lập. Ông cho biết cả Avast và Jumpshot đều hành động hoàn toàn trong giới hạn pháp lý, tuân thủ 100% GDPR.

Cụ thể người phát hiện ra vấn đề này là Felix Krause – một lập trình viên cần tìm một công thức nấu mực theo phong cách Ý, và anh ấy vô tình cài ứng dụng có tên GialloZafferano, trên App Store. Sau khi cài đặt và mở ứng dụng, bỗng nhiên có một pop-up hiển thị yêu cầu nhập mật khẩu Apple ID một cách vô lý.

Nếu là người dùng bình thường, có thể bạn sẽ không phát hiện điều gì bất thường mà chỉ đơn giản nghĩ là hệ thống đang cần xác nhận gì đó. Nếu như bạn đang duyệt web mà hiện pop-up như vậy thì bạn có thể hơi nghi ngờ, nhưng nó hiện trong một ứng dụng cài trên App Store thì có thể làm bạn yên tâm và chủ quan. Điều này khá nguy hiểm, người dùng không nên nhập mật khẩu nhạy cảm vào những thời điểm ngẫu nhiên như vậy.

Felix Krause đã đưa ra bốn ảnh chụp màn hình (bên dưới) cho thấy pop-up chính chủ của iOS và pop-up do anh tạo ra bằng ứng dụng tự chế chỉ với dưới 30 dòng mã, chúng không khác gì nhau.

Mẹo nhỏ khi bạn gặp trường hợp này. Đó là nếu nhìn thấy một trong các pop-up như trên, bạn hãy bấm nút Home để thoát ra màn hình chính. Trong trường hợp sau khi bấm Home để thoát mà pop-up cũng biến mất luôn thì chắc chắc đó là một pop-up lừa đảo. Còn nếu cửa sổ này và ứng dụng không biến mất, thì đó là hộp thoại hệ thống hợp pháp. Để chắc ăn hơn, thường khi cần xác thực này, bạn hãy vào Cài đặt > iTunes & App Store và thoát rồi đăng nhập lại tài khoản của mình.