Webbläsartillägg Siphon privata data från 4M-användare, läcka det sedan
Var försiktig med skuggiga webbläsartillägg. De kan samla in och läcka ut dina mest privata data.
Åtta webbläsartillägg för Chrome och Firefox stängdes nyligen efter att en säkerhetsforskare avslöjade hur de i hemlighet skickade användarnas privata data till ett marknadsföringsföretag.
De insamlade uppgifterna är ganska störande. Förlängningarna kunde läsa och kopiera delningsbara webblänkar från användarnas webbläsarsessioner, inklusive rapporter till människors DNA-testtjänster, personliga foton på Apple iCloud och skattedokument som delas över Microsoft OneDrive.
”Denna läcka exponerade personlig identifierbar information (PII) och företagsinformation (CI) i en aldrig tidigare skådad skala och påverkade miljontals individer”, skrev säkerhetsforskaren Sam Jadali, som har undersökt aktiviteterna i flera månader.
Datainsamlingen skedde också i nästan realtid. Webblänkarna vidarebefordrades inom en timme till ett marknadsföringsföretag som heter Nacho Analytics, som specialiserat sig på att hjälpa kunder att mäta trafik till olika webbplatser, enligt Ars Technica.
“Miljoner och miljoner människor över hela världen har valt att anonymt dela sin webbhistorik med oss”, hävdar Nacho Analytics på sin webbplats, som säger att tjänsten är helt laglig.
I själva verket har webbläsartillägg ofta integritetspolicyer som nämner att “anonymiserad” datainsamling kan ske. Jadali upptäckte emellertid att Nacho Analytics och dess partners misslyckades med att granska webblänkar till privat användarinformation från deras insamlingsprocesser. Betalda och försöksmedlemmar i Nacho Analytics kan sedan teoretiskt söka efter dessa uppgifter på företagets webbplats genom att ange relaterade domännamn.
De åtta webbläsartilläggen hade totalt 4,1 miljoner användare totalt, inklusive konsumenter och affärsanställda. Som ett resultat hade stora företag som Apple, Facebook, Microsoft och Amazon också tagit bort företagsdata.
Som svar på resultaten stängde Google och Mozilla tilläggen. Hover Zoom, SpeakIt !, SuperZoom, SaveFrom.net Helper, FairShare Unlock, PanelMätning, Branded Surveys och Panel Community Surveys var alla inblandade, enligt Jadali, som rekommenderar berörda användare att avinstallera tilläggen omedelbart för att förhindra fortsatt datainsamling.
Nacho Analytics förnekar dock något fel. Företaget hävdar att ingen av sina kunder någonsin har tillgång till den känsliga länkdata som den lagrat. “Det här var inte ett hack. Ingen privat information avslöjades. Ingen kundinformation (namn, kreditkort, e-post, etc.) sågs eller nås,” sade Nacho Analytics i ett meddelande på företagets webbplats.
“Men i överflöd av försiktighet stoppar vi all tillgång till potentiellt känslig information”, tillade företaget. “Vi accepterar inte nya registreringar på Nacho Analytics.”
Händelsen understryker en sårbarhet med webbläsartillägg. de behöver ofta förmågan att läsa och skriva webbsidadata för att kunna fungera. Detta kan dock utsätta användaren för allvarlig risk i händelse av att ett tilläggsutvecklare missbrukar dessa funktioner. Det är därför Google försöker göra Chrome-tillägg säkrare att använda. Senare i år lanserar företaget en förändring som begränsar tillägg från att fånga upp och ändra känslig data som flödar genom Chrome-webbläsaren.
Inte alla håller dock med om Googles strategi. De nya begränsningarna riskerar också förlamande legitima tillägg, till exempel annonsblockerare, enligt utvecklare.
För att skydda dig själv, överväga att avinstallera tillägg som du inte längre använder. Du kan också kontrollera om en tilläggsleverantör har andra programalternativ som inte kräver åtkomst till all din webbsidesinformation.
Jadali berättade också för PCMag Nacho Analytics är inte det enda marknadsföringsföretaget som använder webbläsartillägg för att samla in människors data. “Det finns andra företag som säljer liknande data som samlas in på liknande sätt”, sa han i ett e-postmeddelande.
