Utviklere av utvidelser selger dataene til minst 6.5 millioner brukere – og alt er helt lovlig

Kortfattet sammendrag:

Ny forskning fra LayerX Security avdekker flere nettverk av nettleserutvidelser som samler inn brukerdata og videreselger dem for profitt – og alt er helt lovlig. For i motsetning til ondsinnede utvidelser som kamuflerer seg som legitime utvidelser og gjør sitt i mørket, forteller disse utvidelsene brukerne eksplisitt at de skal samle inn og selge dataene sine. Det står rett der i personvernerklæringen, bortsett fra at ingen leser den.

LayerX analyserte personvernreglene til tusenvis av utvidelser og avdekket over 80 forskjellige utvidelser som samler inn og selger kundedata. Noen av disse utvidelsene inkluderer:

• Et nettverk av 24 medieutvidelser som er installert på 800 000 brukere og samler inn seerdata og demografisk informasjon på store strømmeplattformer som Netflix, Hulu, Disney+, Amazon Prime Video, HBO, Apple TV og andre.
• 12 separate annonseblokkere med en samlet installasjonsbase på over 5.5 millioner brukere som åpent selger brukerdata
• Nesten 50 andre utvidelser, med over 100 000 brukere totalt, som samlet inn og videresolgte brukernes nettleserdata

Selv om nettleserutvidelser kan virke uskyldige, fremhever disse funnene personvernrisikoen som kan oppstå ved uregulert bruk av utvidelser.

Den lille skriften som gjør alt lovlig

Personvernregler. Å lese dem er som å se maling tørke. For de fleste brukere er det verre enn å lese den lille skriften i boliglånsavtalene sine; og det sier litt om det.

Bortsett fra at vi gjorde det.

LayerX Security-forskerne Dar Kahllon og Guy Erez analyserte personvernreglene til tusenvis av nettleserutvidelser som er tilgjengelige i offisielle butikker. De lette etter én ting: om utgiveren eksplisitt forbeholdt seg retten til å selge brukerdata.

Og vi fant dem. Analysen vår viste minst 80 slike utvidelser, noen av dem jobbet i samarbeid, og utviklet av samme utvikler på tvers av alle utvidelsene. De spenner fra annonseblokkering og strømmeverktøy til jobbsøknadshjelpere, nye faneutvidelser og B2B-salgsinformasjonsplattformer.

De fleste av disse retningslinjene sier ikke «vi selger dataene dine». De sier «vi kan selge». Det er en juridisk sikring – men det betyr at dataene dine kan selges når som helst, og at du allerede har samtykket til det. Slik ser det ut i praksis:

«Vi kan selge eller dele din personlige informasjon med tredjeparter.»

«Denne informasjonen kan bli solgt til eller delt med forretningspartnere.»

Hva? Nettleserutvidelser har personvernregler?!

Vel, for å være rettferdig, gjør de fleste ikke det.

Figur 1. Åpenhet i personvernerklæringen

Ifølge LayerXs Enterprise Browser Extension Security Report 202671 % av alle utvidelser i Chrome Nettmarked publiserer ikke engang en personvernerklæring. 

Som et resultat har mer enn 73 % av brukerne minst én utvidelse installert uten en personvernerklæring, uten åpenhet om hvordan dataene deres håndteres. Dette betyr at analysen vår bare kunne basere seg på de 29 % som har en personvernerklæring. 

Og hvis vi antar at noen av disse utvidelsene uten noen personvernpolicy i det hele tatt også vil videreselge dataene dine – og det er ingen grunn til å anta at de er bedre – er det reelle antallet utvidelser som kan selge dataene dine på tvers av Chrome Nettmarked i ti av tusen.

Hvordan vi analyserte dataene

Vi bygde en prosess for å analysere personvernregler knyttet til nettleserutvidelser i offisielle butikker, og kombinerte automatisert klassifisering med manuell verifisering.

Med utgangspunkt i omtrent 9,000 utvidelser med URL-er for personvernregler i databasen vår, hentet og analyserte vi 6,666 regler.

Rørledningen gikk i tre trinn:

1. Først markerte vi retningslinjer som avslørte salg, lisensiering eller kommersiell overføring av brukerdata med AI-klassifisering. Deretter markerte vi treff med høy konfidens for gjennomgang og bekreftet hver flaggede retningslinje manuelt.
2. Utførte en manuell gjennomgang for å fjerne falske positiver, inkludert:
   1. 1. Sikkerhetsverktøy for bedrifter (f.eks. Fortinet, CrowdStrike) som ruter nettleserdata til sine egne servere som en del av forventet nettfiltreringsatferd
      2. Standard CCPA-avsløringer om retargeting av annonser (f.eks. HubSpot, Calendly), der deling av informasjonskapsler med plattformer som Google Ads teknisk sett kan telle som et «salg» under brede definisjoner.
      3. Konsensuelle plattformer for inntektsgenerering av data (f.eks. Swash) der brukere eksplisitt velger å delta og får kompensasjon

   Det endelige datasettet inkluderer kun utvidelser med personvernregler som indikerer ekte kommersielt salg av brukerdata til tredjeparter

3. I den endelige opptellingen fant vi 82 unike utvidelser på tvers av 94 butikkoppføringer.. 75 er for øyeblikket tilgjengelige i Chrome Nettmarked. De resterende 7 er fjernet – men «fjernet» betyr ikke «avinstallert». Utvidelser som hentes fra nettbutikken kan forbli aktive i nettlesere som allerede har dem.

Selv om disse tallene kan virke lave, må du huske på at disse tallene bare gjelder for utvidelser med personvernregler til å begynne med (mindre enn en tredjedel av alle utvidelser), og de utvidelsene som faktisk forteller deg hva de gjør med dataene dine. Det sanne tallet er nesten helt sikkert høyere.

Her er noen av våre viktigste funn:

QVI-imperiet: Én anonym utgiver, 24 utvidelser, 800 000 brukere

Mens man gjennomgikk bekreftede selgere, dukket et mønster stadig opp. Ulike utvidelser, forskjellige strømmeplattformer, men det samme prefikset på tre bokstaver: QVI – forkortelse for «Initiativ for kvalitetsseere».

Det som så ut som urelaterte verktøy viste seg å være én enkelt operasjon: 24 nettleserutvidelser – 21 er for øyeblikket aktive, 3 er fjernet – som dekker nesten alle større strømmetjenester.

• Netflix
• Hulu
• Disney +
• Amazon Prime Video
• HBO Maks
• Peacock
• Paramount +
• Tubi
• Apple TV +
• Crunchyroll

Alt publisert av HideApp LLC, registrert på 1021 East Lincolnway, Cheyenne, Wyoming – en adresse som deles av hundrevis av andre LLC-er gjennom en registrert agenttjeneste – og opererer under merkevaren «dogooodapp».

De største utvidelsene i nettverket: 

• Tilpasset profilbilde for Netflix (200 000 brukere)
• Hulu-annonseskipper (100 000)
• Netflix bilde-i-bilde (100K)
• Annonseskipper for Prime Video (60K)
• Netflix utvidet (60K)

På tvers av alle 21 direktelinjelinjer når nettverket nesten 800,000 brukere.

Figur 2. Utvidelsesside i Chrome Store for utvidelsen «Tilpasset profilbilde for Netflix [QVI]»

Men personvernreglene deres sier noe som butikkoppføringene ikke gjør. Disse utvidelsene samler inn omfattende informasjon, inkludert:

• Visningshistorikk
• Innholdspreferanser
• Plattformabonnementer
• Nedlastet innhold
• Strømmingsatferd 

De samler også inn alder og kjønn – og hvis du ikke oppgir demografiske opplysninger, sammenligner de e-postadressen din med tredjeparts demografiske databaser for å fylle ut hullene.

Figur 3. Data deklarert som samlet inn av personvernerklæringen for utvidelsen «Tilpasset profilbilde for Netflix [QVI]»

Retningslinjene beskriver salg av rapporter til innholdsskapere og -studioer, strømmeplattformer, medieanalysefirmaer og markedsføringsbyråer – i tillegg til «organisasjoner som kjøper anonymiserte seerdata».

Sett alt sammen, og du ser på et distribuert målesystem for publikum som kjører i brukernes nettlesere. Én anonym utgiver samler inn seeratferd på tvers av alle større strømmeplattformer og bygger informasjon om hva nesten 800 000 mennesker ser på, når og hvordan de engasjerer seg med innhold. Ingen av disse brukerne registrerte seg for det. Juridisk sett godtok de vilkårene da de klikket på «Legg til i Chrome». Praktisk talt leste ingen dem.

 

Annonseblokkere som blokkerer noen annonser og selger dataene dine til andre annonser

Vi bekreftet åtte annonseblokkere som forbeholder seg retten til å selge eller dele brukerinformasjon med tredjeparter. Verktøy folk installerer for å stoppe sporing – selger sporingsdata i stedet. Kombinert når de ut over 5.5 million brukere.

• Står AdBlocker (3M-brukere) selger nettleserdata til tredjeparter for «markedsanalyseformål».
• Poper-blokkering (2 millioner brukere) avslører salgsidentifikatorer, nettleseraktivitet, atferdsprofiler og utledede sensitive data – inkludert helsetilstander, religiøs tro og seksuell legning, alt utledet fra nettadressene du besøker.
• Alle blokker, en annonseblokkering for YouTube (500 000 brukere), selger anonymiserte data «for analytiske og kommersielle formål». Publisert av en enhet kalt Curly Doggo Limited, basert i London.
• TwiBlocker (80 000 brukere) avslører overføring av nettleserdata til tredjeparter som «behandler eller selger dem for analytiske formål».
• Urban AdBlocker (10 000 brukere) ruter nettleserdata og AI-samtaler gjennom BiScience-datamegleren.

Hvis annonseblokkeringen din har en personvernerklæring som er lengre enn to avsnitt, bør du lese den.

Figur 4. Fremhevet annonseblokkering i Chrome Store

Uavhengige operatører kan også selge dataene dine

Dette er ikke de største utvidelsene på listen, men de viser hvor langt datasalgsmodellen når.

• Career.io Jobbsøk automatisk (10 000 brukere) oppgir i sin policy at de kan bruke personopplysninger samlet inn fra CV-en din til å selge til tredjeparter, inkludert datameglere, for målrettet annonsering og profilering. Et jobbsøknadsverktøy som selger CV-en din.
• Søte hunder (6 000 brukere) er en utvidelse for nye faner med søt hundebakgrunn. Bekreftet dataselger gjennom Apex Media-nettverket.
• EmailOnDeck (10 000 brukere) er en midlertidig e-posttjeneste – et verktøy folk bruker spesifikt når de ikke ønsker å dele sin virkelige informasjon. Retningslinjene deres sier at de kan selge, leie ut eller dele e-postlisten sin.
• Kartlegg Junkie avslører salg av besøkte URL-er, klikkstrømdata og «modellert informasjon» om forbrukerpreferanser til markedsundersøkelsesbyråer, reklamebyråer og leverandører av dataanalyse.
• Dashy Ny fane (10 000 brukere) har Chrome Nettmarked-oppføringen sin merket med «selger ikke dataene dine». Den faktiske personvernerklæringen markerer data som «Solgt eller delt: Ja». Vi mener dette er CCPA-samsvarsformulering for standardanalyse, ikke kommersielt datasalg – og det er derfor vi utelot det. Men motsetningen mellom butikkoppføringen og personvernerklæringen er reell. Hvis en utgivers egen policy sier «Solgt eller delt: Ja» og butikkoppføringen sier det motsatte, hvilken bør brukerne stole på?

Når dine ansattes utvidelser selger data

Av de 82 bekreftede selgerne er 29 av dem B2B-salgsintelligensverktøy. Virksomheten deres is data, så selve avsløringen er ikke overraskende. Vi teller dem ikke sammen med utvidelsene rettet mot forbrukere.

Men de hører hjemme i denne samtalen. Disse utvidelsene sitter på bedriftens maskiner. Dette betyr at ansattes nettleseratferd, som interne URL-er, SaaS-dashboards og forskningsaktivitet, flyter inn i kommersielle databaser som konkurrentene dine kan kjøpe. Risikoen handler ikke om at brukerne blir lurt. Det handler om at bedriftsdata forsvinner gjennom en kanal ingen ser på.

Hva sikkerhetsteam bør gjøre med dette

De fleste sikkerhetsevalueringer av utvidelser fokuserer på tillatelser eller kjente indikatorer for skadelig programvare – de flagger utvidelser som ber om overdreven tilgang eller samsvarer med trusselinformasjon. Dette fanger opp skadelig programvare. Det fanger ikke opp en utvidelse som åpent forbeholder seg retten til å selge nettleserdataene dine.

En utvidelse med en avsløring om salg av data er ikke en hypotetisk risiko. Det er en uttalt forretningspraksis, som ligger i et dokument dine ansatte har akseptert uten å lese.

Tre spørsmål som er verdt å stille seg: 

1. Hvilke utvidelser er installert på tvers av ansattes nettlesere? 
2. Hvilke data hevder disse utgiverne retten til å samle inn eller selge? 
3. Kan bedrifters nettleseraktivitet flyte inn i kommersielle datasett?

De fleste nettlesere støtter allerede sentralisert utvidelsesadministrasjon gjennom bedriftspolicyer – Chromes ExtensionSettings, Edges gruppepolicyer og Firefox sine bedriftskonfigurasjoner. Hvis du ikke har en policy for utvidelsesstyring, er det første trinn. Hvis du har en, legg til gjennomgang av personvernpolicyer i evalueringskriteriene. Tillatelser alene sier ikke nok.

For det formålet la LayerX til et nytt filter for å oppdage og filtrere (og blokkere, om ønskelig) utvidelser som enten ikke har en personvernerklæring i det hele tatt, eller forbeholder seg retten til å selge personopplysninger.

Vurder å blokkere utvidelser som enten opplyser om salg av brukerdata eller ikke publiserer en personvernerklæring i det hele tatt.

Figur 5. LayerX Extension-personvernfilter  

Bunnlinjen

Nettleserutvidelser er blant nettets kraftigste og minst granskede verktøy. Selv om mye av fokuset er på ondsinnede programmer som aktivt stjeler bruker- og bedriftsdata, kan brudd på personvernet høres banale ut, men de kan også være risikable.

Å gå gjennom og lese personvernerklæringen for hver utvidelse som hver bruker har i organisasjonen din kan føre til hundrevis eller tusenvis av individuelle utvidelser; det er åpenbart ikke mulig.

I stedet må organisasjoner begynne å distribuere automatiserte verktøy som kan begrense mistenkelige utvidelser og ta hensyn til personverninnstillinger.