Еще один день, еще одна угроза конфиденциальности. В последнее время это кажется неизбежным. В то время как люди сходят с ума по поводу того, что приложение FaceApp может хранить их фотографии на сервере, они используют расширения браузера, чтобы повысить производительность, и это также ставит под угрозу их конфиденциальность.
Колумнист Washington Post и независимый исследователь безопасности установили, что около 4 миллионов человек передали свои личные и деловые данные через расширения Google Chrome и Firefox и даже не знали об этом. Их данные выставлены на продажу.
Утечка данных о расширениях Chrome и Firefox
Журналист Джеффри А. Фаулер сообщил о своем исследовании, что около 4 миллионов человек по незнанию передали свои данные через Chrome и Firefox. Он отметил, что даже отдел новостей Washington Post столкнулся с проблемой потери данных.
К счастью для Google и Mozilla, как только он и исследователь сообщили им об утечках, они были немедленно закрыты, но Фаулер и исследователь опасаются, что «мы, вероятно, выявили лишь часть проблемы».
Он объясняет, что некоторые надстройки и плагины находятся в вашем браузере и передают ваши данные, такие как ваши привычки в Интернете и личную информацию, в бизнес для них. Попросив читателей представить все, что они делают в своем браузере на работе и дома, он отметил, что «это цифровой прокси для вашего мозга» и что все эти «клики, исходящие из вашего компьютера», могут быть «собраны для маркетологов, брокеров данных и хакеров».».
На этой неделе даже Amazon попросила своих клиентов установить расширение Assistant. Тем не менее, мелким шрифтом написано, что посредством этого Amazon собирает историю посещений и подробную информацию о страницах, которые вы просматриваете. И это всего лишь законное расширение. Представьте, что происходит с незаконными.
Исследователь, который помогал Фаулеру в его исследованиях, — Сэм Джадали, владелец бизнеса по хостингу веб-сайтов. Ранее в этом году он обнаружил, что некоторые данные его клиентов продаются в Интернете, и попытался выяснить, как это происходит.
Одним из мест, где собирались данные, был веб-сайт Nacho Analytics, который называет себя службой маркетинговой разведки. Всего за 49 долларов в месяц он предоставляет данные о том, на что нажимают практически на любом веб-сайте.
На веб-сайте утверждается, что данные получены от людей, которые согласились на такое отслеживание, и что вся личная информация удаляется. Хотя они отслеживают веб-сайты, иногда они содержат другую информацию, которую сайты забывают защитить.
Джадали нашел в этих данных не только веб-сайты. Он нашел имена пользователей, пароли и координаты GPS — информацию, которую, по утверждению Nacho Analytics, они удалили из данных. «Я начал понимать, что это утечка катастрофического масштаба», — сказал он.
Он нашел имена пациентов, врачей и лекарств в службе медицинских карт. У авиакомпаний он нашел имена, номера подтверждений и номера записей о пассажирах. В облачном хранилище он нашел 100 документов с названием «налог». В заголовках служебных записок и отчетов о проектах упоминались сверхсекретные проекты, а также «информация о внутренних корпоративных сетях и кодах межсетевых экранов».
Фаулер спросил Джадали, может ли он найти данные внутри The Washington Post. «Вскоре после того, как я спросил, Джадали спросил меня, есть ли у меня коллега по имени Ник Муртупалас. Джадали видел, как он заходил на наши внутренние сайты. Муртупалас только что просмотрел страницу о летних стажерах».
Его коллега был удивлен, что сведения о его просмотре стали достоянием общественности, и отметил, что он никогда не подписывался на него. «Что я сделал не так?» он спросил. Оказывается, он установил 17 расширений Chrome.
Одним из них было расширение для браузера под названием Hover Zoom, которое позволяет увеличивать фотографии при наведении на них курсора мыши. Муртупалас вспомнил, как узнал о расширении на Reddit. В какой-то момент в этом году у него было 800 000 пользователей. Когда Hover Zoom установлен, во всплывающем окне говорится, что он может «читать и изменять историю просмотров». Это показатель того, что они делают.
Затем Фаулер предложил себя в качестве подопытного кролика. Он установил расширение и наблюдал, как Джадали получил доступ к личным фотографиям на iPhone и Facebook, которые он открыл в Chrome, а также к документу OneDrive, который он назвал «Личный документ Джеффа». Ему нужно было только найти документ, выполнив поиск в Начо по слову «Джефф».
После этих обнаружений они предупредили Google и Mozilla, которые удаленно деактивировали расширения. Девять отключенных расширений насчитывали более 4 миллионов пользователей. Если вы один из этих пользователей, ваше расширение больше не работает.
Через несколько дней после этого компания Nacho опубликовала уведомление о том, что у нее «постоянное» отключение данных и что она не сможет принимать новых клиентов или предоставлять существующим клиентам новые данные.
Безопасны ли теперь расширения?
Одним словом нет. Помимо тех девяти расширений, которые были отключены, существует больше расширений. Исследователи из Университета штата Северная Каролина проверили, сколько из 180 000 доступных расширений Chrome приводят к утечке личных данных. Они обнаружили более 3800 затронутых расширений, из которых 10 самых популярных насчитывают 60 миллионов пользователей. И это не считая Firefox.
На данный момент даже неясно, как это исправить. Кажется, это так широко распространено. И даже если вы сейчас выключите его и удалите все свои расширения? О вас все еще есть другие данные, которые уже есть у фермеров данных. Ваша фотография на сервере FaceApp может вас волновать меньше всего.
Используете ли вы расширения для браузера? Вас беспокоит эта новость? Как вы думаете, как это можно предотвратить, кроме удаления всех расширений? Напишите свое мнение в комментариях ниже.
