小心可疑的浏览器扩展。他们可能正在收集和泄露你最私人的数据。
最近,一名安全研究人员关闭了Chrome和Firefox的8个浏览器扩展发现了(在新窗口中打开)他们如何秘密地将用户的私人数据发送给一家营销情报公司。
收集到的数据相当令人不安。这些扩展能够从用户的浏览器会话中读取和复制可共享的网络链接,包括报告到用户的DNA测试服务、托管在苹果iCloud上的个人照片,以及通过iCloud共享的税务文件微软OneDrive.
“这次泄露以前所未有的规模暴露了个人身份信息(PII)和企业信息(CI),影响了数百万人。”写了(在新窗口中打开)安全研究员萨姆·贾达利(Sam Jadali)对这些活动进行了数月的调查。
数据收集也几乎是实时进行的。这些网站链接在一小时内被转发给一家名为Nacho Analytics的营销情报公司,该公司专门帮助客户测量不同网站的流量,根据(在新窗口中打开)给Ars Technica。
“世界各地数以百万计的人选择匿名与我们分享他们的网页浏览历史,”纳乔分析公司(Nacho Analytics)说索赔(在新窗口中打开)该公司在其网站上表示,这项服务完全合法。
事实上,浏览器扩展通常有隐私政策,提到可能会发生“匿名”数据收集。然而,贾达利发现Nacho Analytics及其合作伙伴未能从他们的收集过程中筛选出指向私人用户信息的网页链接。从理论上讲,Nacho Analytics的付费会员和试用会员可以通过输入相关域名在公司网站上搜索这些数据。
这8个浏览器扩展总共至少有410万用户,包括消费者和企业员工。因此,苹果、Facebook、微软和亚马逊等大公司的企业数据也被窃取了。
作为对这些发现的回应,谷歌和Mozilla关闭了这些扩展。悬停缩放,说话!根据Jadali的说法,SuperZoom、SaveFrom.net Helper、FairShare Unlock、PanelMeasurement、Branded Surveys和Panel Community Surveys都涉及到,他建议受影响的用户立即卸载这些扩展,以防止继续收集数据。
然而,Nacho Analytics否认有任何不当行为。该公司声称其客户从未访问过其存储的敏感网页链接数据。“这不是黑客攻击。没有任何私人信息被披露。没有客户信息(姓名、信用卡、电子邮件等)被看到或访问,”Nacho Analytics在公司网站上的一份通知中说。
“然而,出于谨慎考虑,我们将停止对任何潜在敏感数据的所有访问,”该公司补充道。“我们不接受Nacho Analytics上的新注册。”
这一事件凸显了浏览器扩展的漏洞;他们通常需要能够读写网页数据才能工作。但是,如果扩展的开发人员滥用这些功能,这可能会使用户面临严重的风险。这就是为什么谷歌正在努力使Chrome扩展更安全的使用。今年晚些时候,该公司将推出一项改变,限制扩展拦截和修改流经Chrome浏览器的敏感数据。
并非所有人都同意谷歌的说法方法,虽然。开发人员表示,新的限制还可能削弱合法的扩展,比如广告拦截器。
为了保护自己,请考虑卸载不再使用的扩展。您还可以检查扩展提供商是否有其他不需要访问所有网页数据的软件替代方案。
Jadali还告诉PCMag, Nacho Analytics并不是唯一一家使用浏览器扩展来收集用户数据的营销情报公司。“还有其他公司出售通过类似方式收集的类似数据,”他在一封电子邮件中说。
编者注:这个故事已经更新了来自贾达利的评论。
谷歌浏览器有一个扩展,阻止星球大战剧透
