Uma nova pesquisa da LayerX Security revela diversas redes de extensões de navegador que coletam dados de usuários e os revendem para obter lucro — e tudo isso é completamente legal. Isso porque, ao contrário de extensões maliciosas que se disfarçam de legítimas e agem às escondidas, essas extensões informam explicitamente aos usuários que irão coletar e vender seus dados. Está tudo lá na Política de Privacidade; só que ninguém lê.
A LayerX analisou as políticas de privacidade de milhares de extensões e descobriu mais de 80 extensões diferentes que coletam e vendem dados de clientes. Algumas dessas extensões incluem:
Embora as extensões de navegador possam parecer inofensivas, essas descobertas destacam a exposição da privacidade que pode surgir do uso não regulamentado dessas extensões.
Políticas de privacidade. Lê-las é como ver tinta secar. Para a maioria dos usuários, é pior do que ler as letras miúdas do contrato de financiamento imobiliário; e isso diz muito.
Só que nós fizemos.
Os pesquisadores da LayerX Security, Dar Kahllon e Guy Erez, analisaram as políticas de privacidade de milhares de extensões de navegador disponíveis nas lojas oficiais. Eles buscavam uma coisa: se o editor reservava explicitamente o direito de vender dados do usuário.
E nós as encontramos. Nossa análise revelou pelo menos 80 extensões desse tipo, algumas delas atuando em conluio e desenvolvidas pelo mesmo desenvolvedor para todas as extensões. Elas variam de bloqueadores de anúncios e ferramentas de streaming a aplicativos para candidaturas a vagas de emprego, extensões de nova aba e plataformas de inteligência de vendas B2B.
A maioria dessas políticas não diz "vendemos seus dados". Elas dizem "podemos vender". É uma medida legal de precaução, mas significa que seus dados podem ser vendidos a qualquer momento, e você já concordou com isso. Veja como isso funciona na prática:
“Podemos vender ou compartilhar suas informações pessoais com terceiros.”
“Estas informações poderão ser vendidas ou partilhadas com parceiros comerciais.”
Bem, para ser justo, a maioria não.
Figura 1. Transparência da Política de Privacidade
De acordo com a LayerX Relatório de Segurança de Extensões de Navegadores Corporativos 202671% de todas as extensões na Chrome Web Store sequer publicam uma política de privacidade.
Como resultado, mais de 73% dos usuários têm pelo menos uma extensão instalada sem uma política de privacidade, sem qualquer transparência sobre como seus dados são tratados. Isso significa que nossa análise só pôde se basear nos 29% que possuem uma política de privacidade.
E se partirmos do princípio de que algumas dessas extensões sem qualquer política de privacidade também revendem seus dados — e não há razão para supor que sejam melhores —, o número real de extensões que podem vender seus dados na Chrome Web Store está na casa dos milhões. dezenas de milhares.
Criamos um sistema para analisar as políticas de privacidade associadas às extensões de navegador nas lojas oficiais, combinando classificação automatizada com verificação manual.
Partindo de aproximadamente 9,000 extensões com URLs de políticas de privacidade em nosso banco de dados, conseguimos obter e analisar 6,666 políticas.
O oleoduto foi construído em três etapas:
O conjunto de dados final inclui apenas extensões cujas políticas de privacidade indicam a venda comercial genuína de dados do usuário a terceiros.
Embora esses números possam parecer baixos, lembre-se de que eles se referem apenas às extensões que já possuem políticas de privacidade (menos de um terço do total) e àquelas que informam o que fazem com seus dados. O número real é quase certamente maior.
Aqui estão algumas das nossas principais conclusões:
Ao analisar os vendedores confirmados, um padrão continuou surgindo. Extensões diferentes, plataformas de streaming diferentes, mas o mesmo prefixo de três letras: QVI – abreviação de “Iniciativa de Audiência de Qualidade”.
O que pareciam ser ferramentas não relacionadas acabou se revelando uma única operação: 24 extensões de navegador – 21 atualmente ativas e 3 removidas – abrangendo praticamente todos os principais serviços de streaming.
Tudo publicado por HideApp LLC, registrada em 1021 East Lincolnway, Cheyenne, Wyoming – um endereço compartilhado por centenas de outras LLCs por meio de um serviço de agente registrado – e operando sob a marca “aplicativo dogoood. "
As maiores extensões da rede:
Em todas as 21 extensões ativas, a rede alcança quase usuários 800,000.
Figura 2. Página da extensão na Chrome Store para a extensão “Foto de perfil personalizada para Netflix [QVI]”
Mas a política de privacidade deles diz algo que os anúncios da loja não dizem. Essas extensões coletam muitas informações, incluindo:
Eles também coletam dados demográficos, como idade e sexo, e, caso você não forneça essas informações, comparam seu e-mail com bancos de dados demográficos de terceiros para preencher as lacunas.
Figura 3. Dados declarados como coletados pela política de privacidade da extensão “Foto de perfil personalizada para Netflix [QVI]”
A política descreve a venda de relatórios para criadores de conteúdo e estúdios, plataformas de streaming, empresas de pesquisa de mídia e agências de marketing – juntamente com “organizações que compram dados de visualização anonimizados”.
Junte tudo isso e você terá um sistema distribuído de medição de audiência rodando dentro dos navegadores dos usuários. Um editor anônimo coletando dados de visualização em todas as principais plataformas de streaming, criando informações sobre o que quase 800,000 mil pessoas assistem, quando e como interagem com o conteúdo. Nenhum desses usuários se inscreveu para isso. Legalmente, eles aceitaram os termos ao clicar em “Adicionar ao Chrome”. Na prática, ninguém os leu.
Confirmamos oito bloqueadores de anúncios que se reservam o direito de vender ou compartilhar informações do usuário com terceiros. Ferramentas que as pessoas instalam para impedir o rastreamento – vendendo dados de rastreamento em vez disso. Juntas, elas alcançam mais de 5.5 milhões de usuários.
Se o seu bloqueador de anúncios tiver uma política de privacidade com mais de dois parágrafos, leia-a.
Figura 4. Bloqueador de anúncios em destaque na Chrome Web Store
Essas não são as maiores extensões da lista, mas mostram o alcance do modelo de venda de dados.
Dos 82 vendedores confirmados, 29 são ferramentas de inteligência de vendas B2B. Seus negócios is Os dados, portanto a divulgação em si, não são uma surpresa. Não os estamos contabilizando juntamente com as extensões voltadas para o consumidor.
Mas elas têm lugar nesta conversa. Essas extensões ficam instaladas em máquinas corporativas. Isso significa que o comportamento de navegação dos funcionários, como URLs internas, painéis de controle de SaaS e atividades de pesquisa, é enviado para bancos de dados comerciais que seus concorrentes podem comprar. O risco não é o de os usuários serem enganados, mas sim o de os dados corporativos escaparem por um canal que ninguém monitora.
A maioria das avaliações de segurança de extensões se concentra em permissões ou indicadores maliciosos conhecidos — sinalizando extensões que solicitam acesso excessivo ou que correspondem a informações de inteligência sobre ameaças. Isso detecta malware. Mas não detecta uma extensão que se reserva abertamente o direito de vender seus dados de navegação.
Uma extensão de contrato com uma cláusula de venda de dados não é um risco hipotético. É uma prática comercial declarada, presente em um documento que seus funcionários aceitaram sem ler.
Três perguntas que vale a pena fazer:
A maioria dos navegadores já oferece suporte ao gerenciamento centralizado de extensões por meio de políticas corporativas — como as Configurações de Extensão do Chrome, as políticas de grupo do Edge e as configurações corporativas do Firefox. Se você não possui uma política de governança de extensões, esse é o primeiro passo. Caso já possua, adicione a revisão da política de privacidade aos critérios de avaliação. As permissões, por si só, não fornecem informações suficientes.
Para isso, a LayerX adicionou um novo filtro para detectar e filtrar (e bloquear, se desejado) extensões que não possuem política de privacidade ou que se reservam o direito de vender dados pessoais.
Considere bloquear extensões que divulgam a venda de dados do usuário ou que não publicam uma política de privacidade.
Figura 5. Extensão LayerX - Filtro de Privacidade de Dados
As extensões de navegador estão entre as ferramentas mais poderosas e menos fiscalizadas da internet. Embora grande parte da atenção esteja voltada para os programas maliciosos que roubam ativamente dados de usuários e empresas, as violações de privacidade podem parecer banais, mas também podem ser arriscadas.
Analisar e ler a Política de Privacidade de cada extensão que cada usuário da sua organização possui pode resultar em centenas ou milhares de extensões individuais; claramente, isso não é viável.
Em vez disso, as organizações precisam começar a implementar ferramentas automatizadas que possam restringir extensões suspeitas e levar em consideração as configurações de privacidade.
Esta não é uma história sobre malware. Ninguém te hackeou. Ninguém roubou nada. As extensões que você está usando agora podem estar vendendo seus dados de navegação — e elas avisaram que fariam isso. Está lá, na política de privacidade. Página 4. Parágrafo 7. Aquele que ninguém lê.
