Avast đang đối diện với làn sóng chỉ trích khi nhiều hoạt động kinh doanh của công ty bị đưa ra ánh sáng. Wladimir Palant (nhà sáng lập tiện ích Adblock Plus) đã bắt đầu sự việc bằng một phân tích chi tiết về các phần mở rộng trình duyệt của Avast.
Ông phát hiện ra rằng các phần mở rộng đã gửi những thông tin lịch sử duyệt đến Avast trong đó có nhiều dữ liệu hoàn toàn không liên quan đến phân tích cung cấp bảo mật cho sản phẩm. Trong số các dữ liệu có đầy đủ danh sách địa chỉ web đã được truy cập, tiêu đề trang, tham chiếu (trang web nguồn), cũng như mọi liên kết trên các trang kết quả tìm kiếm.
Palant kết luận lại việc thu thập dữ liệu quá mức là hoàn toàn có chủ ý. Mozilla và Google đã nhanh chóng loại bỏ các tiện ích mở rộng Avast và AVG khỏi các cửa hàng tiện ích mở rộng của họ.
Một cuộc điều tra chung của trang Vice và PC Magazine đã xem xét sâu hơn các hoạt động kinh doanh của Avast xung quanh dữ liệu người dùng được thu thập. Theo thông tin, công ty con của Avast là Jumpshot đã lấy dữ liệu từ cài đặt chống vi-rút Avast trên thiết bị người dùng, xử lý nó để bán dữ liệu đã xử lý cho các công ty.
Một sản phẩm có tên gọi là All Clicks Feed sẽ cung cấp cho các công ty, khách hàng (bao gồm các tập đoàn lớn như Google, Microsoft, Pepsi, Home Depot hoặc McKinsey) thông tin rất chi tiết về hành vi người dùng, các nhấp chuột và hoạt động trên các trang web được truy cập.
Dữ liệu được ẩn danh theo Avast, có nghĩa là thông tin nhận dạng cá nhân như địa chỉ IP hoặc địa chỉ email của người dùng sẽ bị xóa khỏi dữ liệu trước khi được bán.
Mặc dù dữ liệu được ẩn danh nhưng gói dữ liệu được bán đi này có thể bao gồm ID thiết bị, đủ dễ dàng để tra cứu lịch sử duyệt web của một thiết bị cụ thể. Nó bao gồm ngày và thời gian, và thông tin về trang web đã truy cập là tốt. Và các công ty mua dữ liệu không hẳn chỉ có một nguồn dữ liệu này. Hãy tưởng tượng Google hoặc Amazon sử dụng thông tin ngày, giờ và URL để kiểm tra chéo với hoạt động của người dùng trên trang web của họ.
Nếu địa chỉ web được cung cấp trong gói dữ liệu, nó cũng có thể dễ dàng xác định người dùng. Việc truy cập vào trang chủ cá nhân trên Facebook hay các mạng xã hội khác, YouTube hoặc bất kỳ hoạt động nào khác có thể được liên kết với tài khoản sẽ cung cấp cho bên thứ ba thông tin về người dùng thực tế.
PC Magazine lưu ý rằng bộ phận Jumpshot của Avast vẫn có thể lấy dữ liệu thông qua các ứng dụng chống vi-rút chính của Avast (bao gồm cả các ứng dụng của AVG).
Hiện tại theo thông tin ngày 31/1/2020 đăng trên The Verge, Avast đã nhanh chóng đóng cửa Jumpshot. Trong một bài đăng trên blog, Giám đốc điều hành của công ty Ondrej Vlcek nói rằng Avast đã chấm dứt hoạt động thu thập và vận hành dữ liệu của công ty con Jumpshot ngay lập tức, hàng trăm nhân viên công ty này hoàn toàn có nguy cơ phải thất nghiệp.
Mặc dù Avast đã thông báo đóng cửa Jumpshot, Vlcek đã bảo vệ cách thức mà công ty thu thập dữ liệu cũng như nhấn mạnh rằng Jumpshot hoạt động như một công ty độc lập. Ông cho biết cả Avast và Jumpshot đều hành động hoàn toàn trong giới hạn pháp lý, tuân thủ 100% GDPR.