Nieuw onderzoek van LayerX Security onthult meerdere netwerken van browserextensies die gebruikersgegevens verzamelen en doorverkopen voor winst – en dat allemaal volkomen legaal. Want in tegenstelling tot kwaadwillende extensies die zich voordoen als legitieme extensies en in het geheim hun gang gaan, vertellen deze extensies gebruikers expliciet dat ze hun gegevens gaan verzamelen en verkopen. Het staat gewoon in het privacybeleid; alleen leest niemand het.
LayerX analyseerde de privacyverklaringen van duizenden extensies en ontdekte meer dan 80 verschillende extensies die klantgegevens verzamelen en verkopen. Enkele van deze extensies zijn:
Hoewel browserextensies onschuldig lijken, benadrukken deze bevindingen de privacyrisico's die kunnen ontstaan door ongereguleerd gebruik van extensies.
Privacybeleid. Het lezen ervan is net zo saai als naar verf kijken die droogt. Voor de meeste gebruikers is het nog erger dan het lezen van de kleine lettertjes in hun hypotheekovereenkomst; en dat wil wat zeggen.
Behalve dat we dat wel gedaan hebben.
De onderzoekers Dar Kahllon en Guy Erez van LayerX Security analyseerden de privacyverklaringen van duizenden browserextensies die verkrijgbaar zijn in officiële appwinkels. Ze zochten naar één ding: of de uitgever zich expliciet het recht voorbehield om... verkoop gebruikersgegevens.
En we hebben ze gevonden. Onze analyse toonde minstens 80 van zulke extensies aan, waarvan sommige samenwerkten en door dezelfde ontwikkelaar voor alle extensies waren gemaakt. Het gaat om uiteenlopende zaken, van advertentieblokkers en streamingtools tot hulpmiddelen voor sollicitaties, extensies voor nieuwe tabbladen en B2B-platformen voor verkoopinformatie.
In de meeste van deze beleidsregels staat niet letterlijk "wij verkopen uw gegevens". Er staat "wij kunnen verkopen". Het is een juridische voorzorgsmaatregel, maar het betekent dat uw gegevens op elk moment verkocht kunnen worden en dat u daar al mee akkoord bent gegaan. Zo ziet dat er in de praktijk uit:
“Wij kunnen uw persoonlijke gegevens verkopen of delen met derden.”
"Deze informatie kan worden verkocht aan of gedeeld met zakelijke partners."
Nou, om eerlijk te zijn, de meesten doen dat niet.
Figuur 1. Transparantie van het privacybeleid
Volgens LayerX's Enterprise Browser Extension Security Report 2026Maar liefst 71% van alle extensies in de Chrome Web Store publiceert niet eens een privacybeleid.
Het gevolg hiervan is dat meer dan 73% van de gebruikers minstens één extensie heeft geïnstalleerd zonder privacybeleid, waardoor er geen transparantie is over hoe hun gegevens worden verwerkt. Dit betekent dat onze analyse alleen kon vertrouwen op de 29% die wél een privacybeleid heeft.
En als we ervan uitgaan dat sommige van die extensies zonder privacybeleid ook uw gegevens doorverkopen – en er is geen reden om aan te nemen dat ze beter zijn – dan ligt het werkelijke aantal extensies dat uw gegevens mogelijk verkoopt via de Chrome Web Store in de tienduizenden.
We hebben een analyseproces opgezet om privacybeleid van browserextensies in officiële appwinkels te analyseren, waarbij geautomatiseerde classificatie wordt gecombineerd met handmatige verificatie.
Uitgaande van de circa 9,000 extensies met URL's naar privacybeleid in onze database, hebben we met succes 6,666 beleidsdocumenten opgehaald en verwerkt.
De pijpleiding werd in drie fasen aangelegd:
De uiteindelijke dataset bevat alleen extensies waarvan het privacybeleid daadwerkelijk wijst op de commerciële verkoop van gebruikersgegevens aan derden.
Hoewel deze cijfers laag lijken, houd er rekening mee dat ze alleen gelden voor extensies met een privacybeleid (minder dan een derde van alle extensies) en voor extensies die daadwerkelijk aangeven wat ze met je gegevens doen. Het werkelijke aantal ligt vrijwel zeker hoger.
Hieronder vindt u een aantal van onze belangrijkste bevindingen:
Tijdens het controleren van de bevestigde verkopers kwam een patroon steeds weer naar voren. Verschillende extensies, verschillende streamingplatforms, maar steeds hetzelfde voorvoegsel van drie letters: QVI – een afkorting voor “Quality Viewership Initiative” (Initiatief voor kwalitatief hoogwaardig kijkerspubliek).
Wat op het eerste gezicht losse tools leken, bleek één geheel te zijn: 24 browserextensies – waarvan er momenteel 21 actief zijn en 3 zijn verwijderd – die vrijwel alle belangrijke streamingdiensten bestrijken.
Alle publicaties van HideApp LLC, geregistreerd op 1021 East Lincolnway, Cheyenne, Wyoming – een adres dat door honderden andere LLC's wordt gedeeld via een geregistreerde agentenservice – en opererend onder de merknaam “dogoodapp. '
De grootste uitbreidingen in het netwerk:
Het netwerk bereikt via alle 21 actieve extensies bijna 800,000 gebruikers.
Afbeelding 2. Extensiepagina in de Chrome Web Store voor de extensie “Aangepaste profielfoto voor Netflix [QVI]”.
Maar hun privacybeleid zegt iets wat de productbeschrijvingen van de webwinkel niet vermelden. Deze extensies verzamelen uitgebreide informatie, waaronder:
Ze verzamelen ook leeftijd en geslacht – en als je geen demografische gegevens verstrekt, vergelijken ze je e-mailadres met demografische databases van derden om de ontbrekende informatie aan te vullen.
Afbeelding 3. Gegevens die volgens het privacybeleid van de extensie “Aangepaste profielfoto voor Netflix [QVI]” zijn verzameld.
Het beleid beschrijft de verkoop van rapporten aan contentmakers en studio's, streamingplatforms, mediaonderzoeksbureaus en marketingbureaus, evenals aan "organisaties die geanonimiseerde kijkgegevens kopen".
Als je alles bij elkaar optelt, krijg je een gedistribueerd systeem voor publieksmeting dat draait in de browsers van gebruikers. Eén anonieme uitgever verzamelt kijkgedrag van alle grote streamingplatforms en bouwt zo een beeld op van wat bijna 800,000 mensen kijken, wanneer en hoe ze met de content omgaan. Geen van die gebruikers heeft zich hiervoor aangemeld. Juridisch gezien accepteerden ze de voorwaarden toen ze op 'Toevoegen aan Chrome' klikten. In de praktijk heeft niemand ze gelezen.
We hebben bevestigd acht advertentieblokkers die het recht voorbehouden om gebruikersinformatie te verkopen of te delen met derden. Tools die mensen installeren om tracking te stoppen – maar in plaats daarvan trackinggegevens verkopen. Gecombineerd bereiken ze meer dan 5.5 miljoen gebruikers.
Als het privacybeleid van je advertentieblokker langer is dan twee alinea's, lees het dan.
Afbeelding 4. Uitgelichte advertentieblokker in de Chrome Web Store
Dit zijn niet de grootste uitbreidingen op de lijst, maar ze laten wel zien hoe ver het dataverkoopmodel reikt.
Van de 82 bevestigde verkopers zijn er 29 B2B-verkoopintelligentietools. Hun bedrijf is data, dus de bekendmaking zelf is geen verrassing. We tellen ze niet mee bij de extensies die voor consumenten bedoeld zijn.
Maar ze horen wel degelijk thuis in dit gesprek. Deze extensies staan op bedrijfscomputers. Dit betekent dat het surfgedrag van werknemers, zoals interne URL's, SaaS-dashboards en onderzoeksactiviteiten, terechtkomt in commerciële databases die uw concurrenten kunnen kopen. Het risico zit hem niet in het misleiden van gebruikers. Het gaat erom dat bedrijfsgegevens via een kanaal naar buiten lekken dat niemand in de gaten houdt.
De meeste beveiligingsbeoordelingen van extensies richten zich op machtigingen of bekende kwaadaardige indicatoren – extensies die buitensporige toegang aanvragen of overeenkomen met dreigingsinformatie worden gemarkeerd. Dat detecteert malware. Maar het detecteert geen extensie die openlijk het recht claimt om uw browsegegevens te verkopen.
Een verlenging van het contract met een clausule over de verkoop van gegevens is geen hypothetisch risico. Het is een vaststaand bedrijfsbeleid, dat is vastgelegd in een document dat uw werknemers zonder te lezen hebben geaccepteerd.
Drie vragen die het waard zijn om te stellen:
De meeste browsers ondersteunen al gecentraliseerd extensiebeheer via bedrijfsbeleid – Chrome's ExtensionSettings, Edge's groepsbeleid en Firefox's bedrijfsconfiguraties. Als u geen beleid voor extensiebeheer hebt, is dat de eerste stap. Als u dat wel hebt, voeg dan de beoordeling van het privacybeleid toe aan de evaluatiecriteria. Alleen machtigingen geven onvoldoende informatie.
Daartoe heeft LayerX een nieuw filter toegevoegd om extensies te detecteren en te filteren (en indien gewenst te blokkeren) die helemaal geen privacybeleid hebben of het recht voorbehouden om persoonlijke gegevens te verkopen.
Overweeg om extensies te blokkeren die openlijk aangeven gebruikersgegevens te verkopen of die helemaal geen privacybeleid publiceren.
Afbeelding 5. LayerX-extensie voor gegevensprivacyfilter
Browser-extensies behoren tot de krachtigste en minst gecontroleerde tools op het web. Hoewel de aandacht vooral uitgaat naar kwaadaardige extensies die actief gebruikers- en bedrijfsgegevens stelen, lijken privacyschendingen misschien onbeduidend, maar ze kunnen wel degelijk risico's met zich meebrengen.
Het doornemen en lezen van het privacybeleid van elke extensie die elke gebruiker in uw organisatie heeft, kan leiden tot honderden of zelfs duizenden afzonderlijke extensies; dat is uiteraard niet haalbaar.
Organisaties moeten in plaats daarvan geautomatiseerde tools gaan inzetten die verdachte extensies kunnen blokkeren en rekening houden met privacyinstellingen.
Dit is geen verhaal over malware. Niemand heeft je gehackt. Niemand heeft iets gestolen. De extensies die je nu gebruikt, verkopen mogelijk je browsegegevens – en ze hebben je verteld dat ze dat zouden doen. Het staat gewoon in het privacybeleid. Pagina 4. Paragraaf 7. Die niemand leest.
