Es sieht so aus, als hätte die Anti-Viren-Software Avast [Links nur für registrierte Nutzer] Die soll schon früher durch ein Browser-Plugin passiert sein, aber nachdem die Anbieter von Browsern dies verhinderten, wurden die Daten direkt über die Anti-Viren-Software gesammelt.
Wie damals mit den McAfee Bugs sind Schwächen oder Hintertüren bei Anti-Viren-Software besonders problematisch, da diese Software für ihre Funktion sehr weitreichende Zugriffsrechte benötigt.
P.S.: Und um einem unweigerlich folgenden Argument vorzugreifen: Avast gibt es auch für Linux.