Een beveiligingslek in de anti-virussoftware van beveiligingsbedrijf Kaspersky heeft ervoor gezorgd dat gebruikers jarenlang te volgen waren, dat ontdekte een journalist bij de Duitse tak van het computertijdschrift c’t. Het lek zat in de Kaspersky-virusscanners vanaf 2016.
Tijdens het testen van de antivirussoftware kwam c’t erachter dat de software in de browser een script draaide, om de site te voorzien van een groen schildje om aan te geven of de site veilig is. In dit script zat een unieke identificatiecode, waarmee de computer geïdentificeerd kan worden.
Deze identificatiecode kan door websites worden gelezen en op die manier konden gebruikers gevolgd worden. Bijvoorbeeld voor advertentiedoeleinden. De code kon zelfs in de incognito-modus van de verschillende browsers uitgelezen worden.
Het tijdschrift heeft Kaspersky meteen op de hoogte gesteld van het lek en het bedrijf heeft inmiddels een patch uitgebracht waarmee de unieke code in het script is vervangen door een algemene code voor elke versie van de software. Op die manier is de identificatiecode voor iedereen met een bepaalde versie hetzelfde en kunnen gebruikers niet meer gevolgd worden.
In een verklaring tegenover c’t laat Kaspersky weten dat het zeer complex zou zijn om het lek te gebruiken voor criminele doeleinden. Het bedrijf acht het daarom onwaarschijnlijk dat het beveiligingslek gebruikt is door kwaadwillenden.