WebblÀsartillÀgg Siphon privata data frÄn 4M-anvÀndare, lÀcka det sedan

WebblÀsartillÀgg Siphon privata data frÄn 4M-anvÀndare, lÀcka det sedan

Var försiktig med skuggiga webblÀsartillÀgg. De kan samla in och lÀcka ut dina mest privata data.

Åtta webblĂ€sartillĂ€gg för Chrome och Firefox stĂ€ngdes nyligen efter att en sĂ€kerhetsforskare avslöjade hur de i hemlighet skickade anvĂ€ndarnas privata data till ett marknadsföringsföretag.

De insamlade uppgifterna Àr ganska störande. FörlÀngningarna kunde lÀsa och kopiera delningsbara webblÀnkar frÄn anvÀndarnas webblÀsarsessioner, inklusive rapporter till mÀnniskors DNA-testtjÀnster, personliga foton pÄ Apple iCloud och skattedokument som delas över Microsoft OneDrive.

”Denna lĂ€cka exponerade personlig identifierbar information (PII) och företagsinformation (CI) i en aldrig tidigare skĂ„dad skala och pĂ„verkade miljontals individer”, skrev sĂ€kerhetsforskaren Sam Jadali, som har undersökt aktiviteterna i flera mĂ„nader.

Datainsamlingen skedde ocksÄ i nÀstan realtid. WebblÀnkarna vidarebefordrades inom en timme till ett marknadsföringsföretag som heter Nacho Analytics, som specialiserat sig pÄ att hjÀlpa kunder att mÀta trafik till olika webbplatser, enligt Ars Technica.

“Miljoner och miljoner mĂ€nniskor över hela vĂ€rlden har valt att anonymt dela sin webbhistorik med oss”, hĂ€vdar Nacho Analytics pĂ„ sin webbplats, som sĂ€ger att tjĂ€nsten Ă€r helt laglig.

Chrome Browser Warning

I sjĂ€lva verket har webblĂ€sartillĂ€gg ofta integritetspolicyer som nĂ€mner att “anonymiserad” datainsamling kan ske. Jadali upptĂ€ckte emellertid att Nacho Analytics och dess partners misslyckades med att granska webblĂ€nkar till privat anvĂ€ndarinformation frĂ„n deras insamlingsprocesser. Betalda och försöksmedlemmar i Nacho Analytics kan sedan teoretiskt söka efter dessa uppgifter pĂ„ företagets webbplats genom att ange relaterade domĂ€nnamn.

De Ätta webblÀsartillÀggen hade totalt 4,1 miljoner anvÀndare totalt, inklusive konsumenter och affÀrsanstÀllda. Som ett resultat hade stora företag som Apple, Facebook, Microsoft och Amazon ocksÄ tagit bort företagsdata.

Som svar pÄ resultaten stÀngde Google och Mozilla tillÀggen. Hover Zoom, SpeakIt !, SuperZoom, SaveFrom.net Helper, FairShare Unlock, PanelMÀtning, Branded Surveys och Panel Community Surveys var alla inblandade, enligt Jadali, som rekommenderar berörda anvÀndare att avinstallera tillÀggen omedelbart för att förhindra fortsatt datainsamling.

Chrome Dataspii

Nacho Analytics förnekar dock nĂ„got fel. Företaget hĂ€vdar att ingen av sina kunder nĂ„gonsin har tillgĂ„ng till den kĂ€nsliga lĂ€nkdata som den lagrat. “Det hĂ€r var inte ett hack. Ingen privat information avslöjades. Ingen kundinformation (namn, kreditkort, e-post, etc.) sĂ„gs eller nĂ„s,” sade Nacho Analytics i ett meddelande pĂ„ företagets webbplats.

“Men i överflöd av försiktighet stoppar vi all tillgĂ„ng till potentiellt kĂ€nslig information”, tillade företaget. “Vi accepterar inte nya registreringar pĂ„ Nacho Analytics.”

HÀndelsen understryker en sÄrbarhet med webblÀsartillÀgg. de behöver ofta förmÄgan att lÀsa och skriva webbsidadata för att kunna fungera. Detta kan dock utsÀtta anvÀndaren för allvarlig risk i hÀndelse av att ett tillÀggsutvecklare missbrukar dessa funktioner. Det Àr dÀrför Google försöker göra Chrome-tillÀgg sÀkrare att anvÀnda. Senare i Är lanserar företaget en förÀndring som begrÀnsar tillÀgg frÄn att fÄnga upp och Àndra kÀnslig data som flödar genom Chrome-webblÀsaren.

Inte alla hÄller dock med om Googles strategi. De nya begrÀnsningarna riskerar ocksÄ förlamande legitima tillÀgg, till exempel annonsblockerare, enligt utvecklare.

För att skydda dig sjÀlv, övervÀga att avinstallera tillÀgg som du inte lÀngre anvÀnder. Du kan ocksÄ kontrollera om en tillÀggsleverantör har andra programalternativ som inte krÀver Ätkomst till all din webbsidesinformation.

Jadali berĂ€ttade ocksĂ„ för PCMag Nacho Analytics Ă€r inte det enda marknadsföringsföretaget som anvĂ€nder webblĂ€sartillĂ€gg för att samla in mĂ€nniskors data. “Det finns andra företag som sĂ€ljer liknande data som samlas in pĂ„ liknande sĂ€tt”, sa han i ett e-postmeddelande.