Razvojni programeri ekstenzija prodaju podatke najmanje 6.5 milijuna korisnika – i sve je potpuno legalno

Sažetak:

Novo istraživanje tvrtke LayerX Security otkriva više mreža proširenja preglednika koja prikupljaju korisničke podatke i preprodaju ih radi profita – i sve je to potpuno legalno. Za razliku od zlonamjernih proširenja koja se maskiraju kao legitimna proširenja i obavljaju svoje zadatke u mraku, ova proširenja izričito govore korisnicima da će prikupljati i prodavati njihove podatke. To je upravo tu u Pravilima o privatnosti; osim što ih nitko ne čita.

LayerX je analizirao pravila o privatnosti tisuća ekstenzija i otkrio preko 80 različitih ekstenzija koje prikupljaju i prodaju podatke o korisnicima. Neka od tih ekstenzija uključuju:

• Mreža od 24 medijska proširenja koja su instalirana na 800,000 korisnika i prikupljaju podatke o gledanju i demografske informacije na glavnim streaming platformama kao što su Netflix, Hulu, Disney+, Amazon Prime Video, HBO, Apple TV i druge
• 12 zasebnih blokatora oglasa s kombiniranom bazom instalacija od preko 5.5 milijuna korisnika koji otvoreno prodaju korisničke podatke
• Gotovo 50 drugih ekstenzija, s ukupno preko 100 000 korisnika, koje su prikupljale i preprodavale podatke o pregledavanju korisnika

Iako se proširenja preglednika mogu činiti nevinim, ovi nalazi ističu izloženost privatnosti koja može nastati zbog nereguliranog korištenja proširenja.

Sitni tisak koji sve čini legalnim

Pravila o privatnosti. Čitanje istih je kao gledanje kako se boja suši. Za većinu korisnika to je gore od čitanja sitnog tiska u njihovim ugovorima o hipoteci; a to nešto znači.

Osim što jesmo.

Istraživači sigurnosti tvrtke LayerX, Dar Kahllon i Guy Erez, analizirali su pravila o privatnosti tisuća proširenja preglednika dostupnih u službenim trgovinama. Tražili su jednu stvar: je li izdavač izričito zadržao pravo prodati korisničke podatke.

I pronašli smo ih. Naša analiza pokazala je najmanje 80 takvih proširenja, od kojih neka rade u dosluhu, a razvio ih je isti programer u svim proširenjima. Raspon je od blokatora oglasa i alata za streaming do pomoćnika za prijave za posao, proširenja za nove kartice i B2B platformi za prodajnu inteligenciju.

Većina ovih pravila ne kaže „prodajemo vaše podatke“. Kažu „možemo prodati“. To je pravna zaštita – ali znači da se vaši podaci mogu prodati u bilo kojem trenutku, a vi ste već pristali na to. Evo kako to izgleda u praksi:

„Možemo prodati ili podijeliti vaše osobne podatke s trećim stranama.“

„Ove informacije mogu se prodati ili podijeliti s poslovnim partnerima.“

Što? Proširenja preglednika imaju pravila o privatnosti?!

Pa, da budem pošten, većina ne.

Slika 1. Transparentnost Pravila o privatnosti

Prema LayerX-u Izvješće o sigurnosti proširenja preglednika za poduzeća 2026, 71% svih proširenja u Chrome web-trgovini čak ni ne objavljuje pravila o privatnosti. 

Kao rezultat toga, više od 73% korisnika ima barem jedno instalirano proširenje bez pravila o privatnosti, bez transparentnosti u načinu na koji se njihovi podaci obrađuju. To znači da se naša analiza mogla osloniti samo na 29% korisnika koji imaju pravila o privatnosti. 

A ako pretpostavimo da će neka od tih proširenja bez ikakvih pravila o privatnosti također preprodavati vaše podatke - a nema razloga pretpostaviti da su bolja - pravi broj proširenja koja mogu prodavati vaše podatke u Chrome web-trgovini je u na desetke tisuća.

Kako smo analizirali podatke

Izgradili smo cjevovod za analizu pravila o privatnosti povezanih s proširenjima preglednika u službenim trgovinama, kombinirajući automatiziranu klasifikaciju s ručnom provjerom.

Počevši od otprilike 9,000 ekstenzija s URL-ovima pravila o privatnosti u našoj bazi podataka, uspješno smo dohvatili i analizirali 6,666 pravila.

Cjevovod je išao u tri faze:

1. Prvo je umjetna inteligencija označila pravila koja otkrivaju prodaju, licenciranje ili komercijalni prijenos korisničkih podataka. Zatim smo označili podudaranja visoke pouzdanosti za pregled i ručno provjerili svako označeno pravilo.
2. Izvršen je ručni pregled kako bi se uklonili lažno pozitivni rezultati, uključujući:
   1. 1. Sigurnosni alati za poduzeća (npr. Fortinet, CrowdStrike) koji usmjeravaju podatke pregledavanja na vlastite poslužitelje kao dio očekivanog ponašanja filtriranja weba
      2. Standardne objave o ponovnom ciljanju oglasa prema CCPA-u (npr. HubSpot, Calendly), gdje se dijeljenje kolačića s platformama poput Google Adsa tehnički može smatrati „prodajom“ prema širokim definicijama
      3. Platforme za monetizaciju podataka na temelju konsenzusa (npr. Swash) gdje se korisnici izričito odlučuju i primaju naknadu

   Konačni skup podataka uključuje samo proširenja čija pravila o privatnosti ukazuju na stvarnu komercijalnu prodaju korisničkih podataka trećim stranama

3. U konačnom prebrojavanju pronašli smo 82 jedinstvena proširenja u 94 unosa u trgovini.. U Chrome web-trgovini trenutno ih je dostupno 75. Preostalih 7 je uklonjeno - ali "uklonjeno" ne znači "deinstalirano". Proširenja preuzeta iz trgovine mogu ostati aktivna u preglednicima koji ih već imaju.

Iako se ove brojke mogu činiti niskima, imajte na umu da se te brojke odnose samo na proširenja koja uopće imaju pravila o privatnosti (manje od jedne trećine svih proširenja) i ona proširenja koja vam zapravo govore što rade s vašim podacima. Pravi broj je gotovo sigurno veći.

Evo nekoliko naših ključnih nalaza:

Carstvo QVI-ja: Jedan anonimni izdavač, 24 ekstenzije, 800,000 korisnika

Tijekom pregleda potvrđenih prodavača, stalno se pojavljivao određeni obrazac. Različita proširenja, različite platforme za streaming, ali isti prefiks od tri slova: VI. kvartal – skraćenica za „Inicijativu za kvalitetnu gledanost“.

Ono što je izgledalo kao nepovezani alati pokazalo se kao jedna operacija: 24 proširenja preglednika – 21 trenutno aktivno, 3 uklonjena – pokrivaju gotovo sve glavne streaming usluge.

• Netflix
• Hulu
• Disney +
• Amazon Prime Video
• HBO Max
• Paun
• Paramount +
• Tubi
• Apple TV +
• Crunchyroll

Sve objavio/la HideApp LLC, registriran na adresi 1021 East Lincolnway, Cheyenne, Wyoming – adresa koju dijele stotine drugih društava s ograničenom odgovornošću putem usluge registriranog agenta – i posluje pod robnom markom „dogooodapp".

Najveća proširenja u mreži: 

• Prilagođena profilna slika za Netflix (200 tisuća korisnika)
• Hulu Ad Skipper (100 tisuća)
• Netflixova slika u slici (100 tisuća)
• Preskakanje oglasa za Prime Video (60 tisuća)
• Netflix Extended (60 tisuća)

U svih 21 aktivnih proširenja, mreža doseže gotovo 800,000 korisnici.

Slika 2. Stranica proširenja u Chrome trgovini za proširenje „Prilagođena profilna slika za Netflix [QVI]“

Ali njihova pravila o privatnosti kažu nešto što oglasi u trgovini ne kažu. Ova proširenja prikupljaju opsežne informacije, uključujući:

• Povijest pregledavanja
• Postavke sadržaja
• Pretplate na platformu
• Preuzeti sadržaj
• Ponašanje pri streamingu 

Također prikupljaju podatke o dobi i spolu – a ako ne navedete demografske podatke, uspoređuju vašu e-poštu s demografskim bazama podataka trećih strana kako bi popunili praznine.

Slika 3. Podaci deklarirani kao prikupljeni prema pravilima o privatnosti proširenja „Prilagođena profilna slika za Netflix [QVI]“

Politika opisuje prodaju izvješća kreatorima sadržaja i studijima, platformama za streaming, tvrtkama za istraživanje medija i marketinškim agencijama - zajedno s „organizacijama koje kupuju anonimizirane podatke o gledanju“.

Kada se sve to spoji, dobivate distribuirani sustav mjerenja publike koji radi unutar preglednika korisnika. Jedan anonimni izdavač prikuplja podatke o ponašanju gledatelja na svakoj većoj platformi za streaming, gradeći podatke o tome što gotovo 800 000 ljudi gleda, kada i kako komuniciraju sa sadržajem. Niti jedan od tih korisnika nije se prijavio za to. Pravno gledano, prihvatili su uvjete kada su kliknuli "Dodaj u Chrome". Praktički ih nitko nije pročitao.

 

Blokatori oglasa koji blokiraju neke oglase i prodaju vaše podatke drugim oglasima

Potvrdili smo osam blokatora oglasa koje zadržavaju pravo prodaje ili dijeljenja korisničkih podataka s trećim stranama. Alati koje ljudi instaliraju kako bi zaustavili praćenje – umjesto toga prodaju podatke o praćenju. Zajedno dosežu preko 5.5 milijuna korisnika.

• Stalci za zvučnike AdBlocker (3 milijuna korisnika) prodaje podatke o pregledavanju trećim stranama u „svrhe analize tržišta“.
• Pop Blocker (2 milijuna korisnika) otkriva identifikatore prodaje, aktivnost pregledavanja, profile ponašanja i izvedene osjetljive podatke - uključujući zdravstveno stanje, vjerska uvjerenja i seksualnu orijentaciju, a sve to izvedeno iz URL-ova koje posjećujete.
• Svi blokovi, blokator oglasa za YouTube (500 tisuća korisnika), prodaje anonimizirane podatke „u analitičke i komercijalne svrhe“. Objavila ga je tvrtka Curly Doggo Limited sa sjedištem u Londonu.
• TwiBlocker (80 tisuća korisnika) otkriva prijenos podataka pregledavanja trećim stranama koje ih „obrađuju ili prodaju u analitičke svrhe“.
• Urban AdBlocker (10 tisuća korisnika) usmjerava podatke pregledavanja i AI razgovore putem BiScience podatkovnog brokera.

Ako vaš blokator oglasa ima pravila o privatnosti dulja od dva odlomka, pročitajte ih.

Slika 4. Istaknuti blokator oglasa u Chrome trgovini

Neovisni operateri također mogu prodavati vaše podatke

Ovo nisu najveća proširenja na popisu, ali pokazuju koliko daleko doseže model prodaje podataka.

• Automatska prijava za posao na Career.io (10 tisuća korisnika) u svojoj politici navodi da može koristiti osobne podatke prikupljene iz vašeg životopisa za prodaju trećim stranama, uključujući posrednike podataka, za ciljano oglašavanje i profiliranje. Alat za prijavu na posao koji prodaje vaš životopis.
• Pseće slatkice (6 tisuća korisnika) je proširenje za novu karticu s pozadinom slatkog psa. Potvrđeni prodavač podataka putem mreže Apex Media.
• EmailOnDeck (10 tisuća korisnika) je privremena usluga e-pošte – alat koji ljudi koriste posebno kada ne želite žele podijeliti svoje stvarne podatke. Njihova politika navodi da mogu prodavati, iznajmljivati ​​ili dijeliti svoju mailing listu.
• Survey Junkie otkriva prodaju posjećenih URL-ova, podataka o klikovima i „modeliranih informacija“ o preferencijama potrošača agencijama za istraživanje tržišta, oglašivačkim agencijama i pružateljima usluga analize podataka.
• Dashy Nova kartica (10 tisuća korisnika) ima svoj popis u Chrome web trgovini označen kao "ne prodaje vaše podatke". Njegova stvarna politika privatnosti označava podatke kao "Prodano ili dijeljeno: Da". Vjerujemo da je ovo jezik usklađenosti s CCPA-om za standardnu ​​analitiku, a ne za prodaju komercijalnih podataka - zbog čega smo to izostavili. Ali kontradikcija između popisa u trgovini i politike privatnosti je stvarna. Ako vlastita politika izdavača kaže "Prodano ili dijeljeno: Da", a popis u trgovini kaže suprotno, kojoj bi korisnici trebali vjerovati?

Kada ekstenzije vaših zaposlenika prodaju podatke

Od 82 potvrđena prodavatelja, 29 njih su alati za prodajnu inteligenciju B2B. Njihovo poslovanje is podatke, tako da samo otkrivanje nije iznenađenje. Ne ubrajamo ih uz proširenja usmjerena na potrošače.

Ali oni pripadaju ovom razgovoru. Ta proširenja nalaze se na korporativnim računalima. To znači da se ponašanje zaposlenika prilikom pregledavanja, poput internih URL-ova, SaaS nadzornih ploča i istraživačkih aktivnosti, prenosi u komercijalne baze podataka koje vaši konkurenti mogu kupiti. Rizik nije u tome što su korisnici prevareni. Radi se o tome što korporativni podaci odlaze kroz kanal koji nitko ne prati.

Što bi sigurnosni timovi trebali učiniti u vezi s ovim

Većina sigurnosnih procjena proširenja usredotočuje se na dopuštenja ili poznate pokazatelje zlonamjernosti – označavajući proširenja koja zahtijevaju prekomjeran pristup ili odgovaraju obavještajnim podacima o prijetnjama. To otkriva zlonamjerni softver. Ne otkriva proširenje koje otvoreno zadržava pravo prodaje vaših podataka o pregledavanju.

Proširenje s objavom o prodaji podataka nije hipotetski rizik. To je utvrđena poslovna praksa, koja se nalazi u dokumentu koji su vaši zaposlenici prihvatili bez čitanja.

Tri pitanja koja vrijedi postaviti: 

1. Koja su proširenja instalirana u preglednicima zaposlenika? 
2. Koje podatke ti izdavači tvrde da imaju pravo prikupljati ili prodavati? 
3. Može li se aktivnost korporativnog pregledavanja prenijeti u komercijalne skupove podataka?

Većina preglednika već podržava centralizirano upravljanje ekstenzijama putem poslovnih pravila – Chromeovih ExtensionSettings, Edgeovih grupnih pravila, Firefoxovih poslovnih konfiguracija. Ako nemate pravila upravljanja ekstenzijama, to je prvi korak. Ako ih imate, dodajte pregled pravila o privatnosti kriterijima za procjenu. Sama dopuštenja ne govore dovoljno.

U tu svrhu, LayerX je dodao novi filter za otkrivanje i filtriranje (i blokiranje, ako se to želi) ekstenzija koje uopće nemaju pravila o privatnosti ili zadržavaju pravo prodaje osobnih podataka.

Razmislite o blokiranju proširenja koja otkrivaju prodaju korisničkih podataka ili uopće ne objavljuju pravila o privatnosti.

Slika 5. Filtar privatnosti podataka proširenja LayerX  

Bottom Line

Proširenja preglednika spadaju među najmoćnije i najmanje provjerene alate na webu. Iako je veliki fokus na zlonamjernim programima koji aktivno kradu korisničke i korporativne podatke, kršenja privatnosti mogu zvučati obično, ali mogu biti i rizična.

Pregledavanje i čitanje Pravila o privatnosti svakog proširenja koje svaki korisnik ima u vašoj organizaciji može dovesti do stotina ili tisuća pojedinačnih proširenja; to očito nije izvedivo.

Umjesto toga, organizacije trebaju početi primjenjivati ​​automatizirane alate koji mogu ograničiti sumnjiva proširenja i uzeti u obzir postavke privatnosti.