En annen dag, en annen personvernrisiko. Det virker bare uunngåelig i det siste. Mens folk freaking ut over FaceApp-appen muligens holder bildene sine på serveren deres, bruker de nettleserutvidelser for å gjøre ting som hjelpeproduktivitet, og det setter også personvernet deres i fare.
EN Washington Post spaltist og en uavhengig sikkerhetsforsker bestemte at så mange som 4 millioner mennesker har gitt opp sine personlige og forretningsdata gjennom sine Google Chrome- og Firefox-utvidelser og ikke engang visste det. Dataene deres er til salgs.
Datalekkasje for Chrome og Firefox Extensions
Journalist Geoffrey A. Fowler rapporterte om forskningen sin at så mange som 4 millioner mennesker uvitende ga opp dataene sine gjennom Chrome og Firefox. Han antydet at til og med redaksjonen i Washington Post var opptatt av å miste dataene sine.
Til styrke fra Google og Mozilla, så snart han og forskeren gjorde dem oppmerksomme på lekkasjene, ble de stengt umiddelbart, men Fowler og forskeren frykter «vi identifiserte sannsynligvis bare en brøkdel av problemet.»
Han forklarer at noen tilleggs- og plugin-utvidelser sitter i nettleseren din og overfører dataene dine, som surfevaner og personlig informasjon, til en virksomhet for dem. Når han ba leserne om å forestille seg alt de gjør i nettleseren på jobben og hjemme, bemerket han «det er en digital proxy for hjernen din», og at alle de «klikkene som stråler ut av datamaskinen din» kan «høstes for markedsførere, datameglere og hackere . ”
Selv Amazon ba kundene om å installere Assistant-utvidelsen denne uken. Likevel sier det med liten skrift at Amazon samler inn nettleserloggen din og detaljene på sidene du ser gjennom dette. Og det er bare en legitim utvidelse. Tenk deg hva som skjer med uekte.
Forskeren som hjalp Fowler med sin forskning er Sam Jadali, som driver en nettsidehotellvirksomhet. Tidligere i år fant han at noen av kundenes data ble solgt online og jobbet for å finne ut hvordan det skjedde.
Et sted som samlet inn data var Nacho Analytics-nettstedet som refererer til seg selv som en markedsføringstjenestetjeneste. For så lite som $ 49 per måned tilbyr den data om hva som blir klikket på nesten hvilket som helst nettsted.
Nettstedet hevder at dataene er fra folk som velger å bli sporet på denne måten, og at de fjerner all personlig informasjon. Selv om de sporer nettsteder, inneholder de noen ganger annen informasjon som nettsteder glemmer å beskytte.
Jadali fant mer enn bare nettsteder i disse dataene. Han fant brukernavn, passord og GPS-koordinater, informasjonen Nacho Analytics hevdet at de slettet fra dataene. «Jeg begynte å innse at dette var en lekkasje i en katastrofal skala,» sa han.
Han fant navnene på pasienter, leger og medisiner fra en medisinsk journaltjeneste. Fra flyselskapene fant han navn, bekreftelsesnummer og passasjerrekordnummer. Fra en skylagringstjeneste fant han 100 dokumenter kalt “skatt”. Det var topphemmelige prosjekter nevnt i titler på notater og prosjektrapporter og «informasjon om interne bedriftsnettverk og brannmurkoder.»
Fowler spurte Jadali om han kunne finne data fra The Washington Post. “Kort tid etter at jeg spurte, spurte Jadali meg om jeg hadde en kollega som heter Nick Mourtoupalas. Jadali kunne se ham klikke på våre interne nettsteder. Mourtoupalas hadde nettopp sett en side om sommerstudentene. ”
Hans kollega var overrasket over at hans surfing ble lekket og bemerket at han aldri hadde valgt. «Hva har jeg gjort galt?» spurte han. Det viser seg at han hadde installert 17 Chrome-utvidelser.
En av dem var en nettleserutvidelse kalt Hover Zoom som sier at det er en måte å forstørre bilder når du holder musen over dem. Mourtoupalas husket å lære om utvidelsen på Reddit. På et tidspunkt i år hadde den 800 000 brukere. Når Hover Zoom er installert, sier et popup-vindu at det kan «lese og endre nettleserloggen din.» Dette er en indikasjon på hva de gjør.
Fowler tilbød seg selv som marsvin. Han installerte en utvidelse og så på at Jadali hadde tilgang til private iPhone- og Facebook-bilder han hadde åpnet i Chrome, og også et OneDrive-dokument han hadde kalt «Geoffs private dokument.» Han trengte bare å finne dokumentet ved å søke på Nacho etter «Geoff.»
Etter disse oppdagelsene varslet de to Google og Mozilla, som begge deaktiverte utvidelser eksternt. Det var mer enn 4 millioner brukere av de deaktiverte ni utvidelsene. Hvis du er en av disse brukerne, fungerer ikke utvidelsen din lenger.
Noen dager etter dette la Nacho ut en melding om at den hadde et «permanent» datafeil og ikke ville være i stand til å ta på seg nye kunder eller gi sine eksisterende kunder nye data.
Er utvidelser trygge nå?
I ett ord, nei. Det er flere utvidelser der ute enn bare de ni som ble stengt. North Carolina State University forskere testet hvor mange av de tilgjengelige 180.000 Chrome-utvidelsene som lekker private data. De fant mer enn 3800 berørte utvidelser, og de mest populære 10 utgjør 60 millioner brukere. Og det er ikke engang å ta Firefox i betraktning.
Det er uklart på dette punktet å til og med vite hva svaret er på å fikse dette. Det virker så utbredt. Og selv om du lukker den nå og sletter alle utvidelsene dine? Det er fremdeles alle de andre dataene der ute om deg som data bøndene allerede har. Bildet ditt på FaceApp-serveren kan være det du er minst bekymret for.
Bruker du nettleserutvidelser? Bekymrer denne nyheten deg? Hvordan tror du det kan forhindres, bortsett fra å slette alle utvidelser? Legg til tankene dine i kommentarene nedenfor.