Razvijalci razširitev prodajo podatke vsaj 6.5 milijona uporabnikov – in vse to je popolnoma legalno

Povzetek:

Nova raziskava podjetja LayerX Security odkriva več omrežij razširitev brskalnika, ki zbirajo uporabniške podatke in jih preprodajajo za dobiček – in vse to je popolnoma legalno. Za razliko od zlonamernih razširitev, ki se prikrivajo kot legitimne razširitve in opravljajo svoje delo na skrivaj, te razširitve uporabnikom izrecno sporočajo, da bodo zbirale in prodajale njihove podatke. To je zapisano v pravilniku o zasebnosti, le da ga nihče ne prebere.

LayerX je analiziral pravilnike o zasebnosti tisočih razširitev in odkril več kot 80 različnih razširitev, ki zbirajo in prodajajo podatke o strankah. Nekatere od teh razširitev vključujejo:

• Omrežje 24 medijskih razširitev, ki so nameščene na 800,000 uporabnikih in zbirajo podatke o ogledih ter demografske informacije na večjih platformah za pretakanje, kot so Netflix, Hulu, Disney+, Amazon Prime Video, HBO, Apple TV in druge.
• 12 ločenih blokatorjev oglasov s skupno bazo namestitev več kot 5.5 milijona uporabnikov, ki odkrito prodajajo uporabniške podatke
• Skoraj 50 drugih razširitev s skupno več kot 100,000 uporabniki, ki so zbirale in preprodajale podatke brskanja uporabnikov

Čeprav se razširitve brskalnika morda zdijo nedolžne, te ugotovitve poudarjajo izpostavljenost zasebnosti, ki lahko nastane zaradi neregulirane uporabe razširitev.

Drobni tisk, zaradi katerega je vse legalno

Pravilniki o zasebnosti. Branje le-teh je kot gledanje sušenja barve. Za večino uporabnikov je to slabše kot branje drobnega tiska v njihovih hipotekarnih pogodbah; in to že nekaj pove.

Razen tega, da smo to storili.

Raziskovalca varnosti pri LayerX, Dar Kahllon in Guy Erez, sta analizirala politike zasebnosti tisočih razširitev brskalnika, ki so na voljo v uradnih trgovinah. Iskala sta eno stvar: ali si je založnik izrecno pridržal pravico do prodaja uporabniških podatkov.

In našli smo jih. Naša analiza je pokazala vsaj 80 takšnih razširitev, nekatere od njih delujejo v tajnem dogovarjanju in jih je razvil isti razvijalec v vseh razširitvah. Segajo od blokatorjev oglasov in orodij za pretakanje do pomočnikov pri prijavah na delovna mesta, razširitev za nove zavihke in platform za prodajno inteligenco med podjetji.

Večina teh pravilnikov ne pravi »prodajamo vaše podatke«. Pravijo »lahko prodamo«. To je pravna zaščita – vendar pomeni, da se vaši podatki lahko prodajo kadar koli in da ste se s tem že strinjali. Takole to izgleda v praksi:

»Vaše osebne podatke lahko prodamo ali delimo s tretjimi osebami.«

"Te informacije se lahko prodajo ali delijo s poslovnimi partnerji."

Kaj? Razširitve brskalnika imajo pravilnike o zasebnosti?!

No, če sem pošten, večina ne.

Slika 1. Preglednost politike zasebnosti

Po mnenju LayerX-a Poročilo o varnosti razširitve brskalnika Enterprise 2026, 71 % vseh razširitev v spletni trgovini Chrome sploh ne objavi pravilnika o zasebnosti. 

Posledično ima več kot 73 % uporabnikov nameščeno vsaj eno razširitev brez pravilnika o zasebnosti, brez preglednosti glede ravnanja z njihovimi podatki. To pomeni, da se je naša analiza lahko zanesla le na 29 % uporabnikov, ki imajo pravilnik o zasebnosti. 

In če predpostavimo, da bodo nekatere od teh razširitev brez kakršne koli politike zasebnosti tudi preprodajale vaše podatke – in ni razloga za domnevo, da so boljše – je dejansko število razširitev, ki lahko prodajajo vaše podatke v spletni trgovini Chrome, v več deset tisoč.

Kako smo analizirali podatke

Zgradili smo cevovod za analizo politik zasebnosti, povezanih z razširitvami brskalnika v uradnih trgovinah, pri čemer smo združili avtomatizirano razvrščanje z ročnim preverjanjem.

Iz približno 9,000 razširitev z URL-ji pravilnikov o zasebnosti v naši bazi podatkov smo uspešno pridobili in razčlenili 6,666 pravilnikov.

Cevovod je potekal v treh fazah:

1. Najprej je umetna inteligenca označila pravilnike, ki razkrivajo prodajo, licenciranje ali komercialni prenos uporabniških podatkov. Nato smo označili visoko zanesljive ujemanja za pregled in ročno preverili vsak označen pravilnik.
2. Izveden je bil ročni pregled za odstranitev lažno pozitivnih rezultatov, vključno z:
   1. 1. Orodja za varnost v podjetjih (npr. Fortinet, CrowdStrike), ki usmerjajo podatke brskanja na lastne strežnike kot del pričakovanega vedenja spletnega filtriranja
      2. Standardna razkritja o ponovnem ciljanju oglasov v skladu z zakonom CCPA (npr. HubSpot, Calendly), kjer se deljenje piškotkov s platformami, kot je Google Ads, lahko tehnično šteje kot »prodaja« v skladu s širokimi definicijami
      3. Platforme za monetizacijo podatkov na podlagi soglasja (npr. Swash), kjer se uporabniki izrecno odločijo za sodelovanje in so plačani

   Končni nabor podatkov vključuje samo razširitve, katerih pravilniki o zasebnosti kažejo na dejansko komercialno prodajo uporabniških podatkov tretjim osebam.

3. V končnem štetju smo našli 82 edinstvenih razširitev v 94 oglasih v trgovinah.. V spletni trgovini Chrome jih je trenutno na voljo 75. Preostalih 7 je bilo odstranjenih – vendar »odstranjeno« ne pomeni »nenameščeno«. Razširitve, prenesene iz trgovine, lahko ostanejo aktivne v brskalnikih, ki jih že imajo.

Čeprav se te številke morda zdijo nizke, upoštevajte, da veljajo le za razširitve s pravilniki o zasebnosti (manj kot tretjina vseh razširitev) in tiste razširitve, ki vam dejansko povedo, kaj počnejo z vašimi podatki. Dejanska številka je skoraj zagotovo višja.

Tukaj je nekaj naših ključnih ugotovitev:

Imperij QVI: en anonimni založnik, 24 razširitev, 800,000 uporabnikov

Med pregledovanjem potrjenih prodajalcev se je vedno znova pojavljal vzorec. Različne razširitve, različne platforme za pretakanje, a ista tričrkovna predpona: VI. četrtletje – okrajšava za »Pobuda za kakovostno gledanost«.

Kar se je zdelo kot nepovezana orodja, se je izkazalo za eno samo operacijo: 24 razširitev brskalnika – 21 trenutno delujočih, 3 odstranjenih – ki pokrivajo skoraj vse večje storitve pretakanja.

• Netflix
• Hulu
• Disney +
• Amazon Prime Video
• HBO Max
• Peacock
• Paramount +
• Tubi
• Apple TV +
• Crunchyroll

Vse objavljeno s strani HideApp LLC, registrirana na naslovu 1021 East Lincolnway, Cheyenne, Wyoming – naslov, ki si ga prek storitve registriranega zastopnika delijo stotine drugih družb z omejeno odgovornostjo – in posluje pod blagovno znamko »dogooodapp«.

Največje razširitve v omrežju: 

• Profilna slika po meri za Netflix (200 tisoč uporabnikov)
• Preskakovalnik oglasov Hulu (100 tisoč)
• Netflixova slika v sliki (100 tisoč)
• Preskakovalnik oglasov za Prime Video (60K)
• Netflix Extended (60 tisoč)

V vseh 21 živih razširitvah omrežje doseže skoraj Uporabniki 800,000.

Slika 2. Stran razširitve v trgovini Chrome za razširitev »Slika profila po meri za Netflix [QVI]«

Vendar pa njihova politika zasebnosti pravi nekaj, česar oglasi v trgovini ne. Te razširitve zbirajo obsežne podatke, vključno z:

• Ogled zgodovine
• Nastavitve vsebine
• Naročnine na platformo
• Prenesena vsebina
• Obnašanje pri pretakanju 

Zbirajo tudi podatke o starosti in spolu – in če ne posredujete demografskih podatkov, primerjajo vaš e-poštni naslov z demografskimi bazami podatkov tretjih oseb, da zapolnijo vrzeli.

Slika 3. Podatki, ki so navedeni kot zbrani v pravilniku o zasebnosti razširitve »Slika profila po meri za Netflix [QVI]«

Politika opisuje prodajo poročil ustvarjalcem vsebin in studiom, platformam za pretakanje, podjetjem za medijske raziskave in marketinškim agencijam – skupaj z »organizacijami, ki kupujejo anonimizirane podatke o ogledih«.

Če vse skupaj seštejete, dobite porazdeljen sistem za merjenje občinstva, ki deluje v brskalnikih uporabnikov. En anonimni založnik zbira podatke o gledanosti na vseh večjih platformah za pretakanje in zbira podatke o tem, kaj si skoraj 800,000 ljudi ogleda, kdaj in kako komunicirajo z vsebino. Nobeden od teh uporabnikov se ni prijavil na to. Pravno gledano so sprejeli pogoje, ko so kliknili »Dodaj v Chrome«. Praktično jih nihče ni prebral.

 

Blokatorji oglasov, ki blokirajo nekatere oglase in prodajajo vaše podatke drugim oglasom

Potrdili smo osem blokatorjev oglasov ki si pridržujejo pravico do prodaje ali deljenja uporabniških podatkov s tretjimi osebami. Orodja, ki jih ljudje namestijo, da ustavijo sledenje – namesto tega prodajajo podatke o sledenju. Skupaj dosežejo več kot 5.5 milijonov uporabnikov.

• Stojala AdBlocker (3 milijoni uporabnikov) prodaja podatke brskanja tretjim osebam za »namene tržne analize«.
• Blokator poper (2 milijona uporabnikov) razkriva prodajne identifikatorje, dejavnost brskanja, vedenjske profile in sklepane občutljive podatke – vključno z zdravstvenim stanjem, verskimi prepričanji in spolno usmerjenostjo, vse sklepano iz URL-jev, ki jih obiščete.
• Vsi bloki, blokator oglasov za YouTube (500 tisoč uporabnikov), prodaja anonimizirane podatke »za analitične in komercialne namene«. Izdala ga je družba Curly Doggo Limited s sedežem v Londonu.
• TwiBlocker (80 tisoč uporabnikov) razkriva prenos podatkov brskanja tretjim osebam, ki jih »obdelujejo ali prodajajo v analitične namene«.
• Urban AdBlocker (10 tisoč uporabnikov) usmerja podatke brskanja in pogovore z umetno inteligenco prek posrednika podatkov BiScience.

Če ima vaš blokator oglasov pravilnik o zasebnosti, daljši od dveh odstavkov, ga preberite.

Slika 4. Izbrani blokator oglasov v trgovini Chrome

Tudi neodvisni operaterji lahko prodajo vaše podatke

To niso največje razširitve na seznamu, vendar kažejo, kako daleč seže model prodaje podatkov.

• Samodejna prijava na delovno mesto Career.io (10 tisoč uporabnikov) v svoji politiki navaja, da lahko uporabi osebne podatke, zbrane iz vašega življenjepisa, za prodajo tretjim osebam, vključno s posredniki podatkov, za ciljno oglaševanje in profiliranje. Orodje za prijavo na delovno mesto, ki prodaja vaš življenjepis.
• Pasji srčki (6 tisoč uporabnikov) je razširitev za nov zavihek z ozadjem ljubkega psa. Potrjen prodajalec podatkov prek omrežja Apex Media.
• EmailOnDeck (10 tisoč uporabnikov) je začasna e-poštna storitev – orodje, ki ga ljudje uporabljajo posebej, kadar ne želijo deliti svoje resnične podatke. Njihova politika določa, da lahko svoj poštni seznam prodajajo, dajejo v najem ali delijo.
• Anketa Junkie razkriva prodajo obiskanih URL-jev, podatkov o klikih in »modeliranih informacij« o preferencah potrošnikov agencijam za tržne raziskave, oglaševalskim agencijam in ponudnikom podatkovne analitike.
• Dashy Nov zavihek (10 tisoč uporabnikov) ima v spletni trgovini Chrome vnos označen kot »ne prodaja vaših podatkov«. Dejanski pravilnik o zasebnosti označuje podatke kot »Prodano ali deljeno: Da«. Menimo, da je to besedilo skladnosti s CCPA za standardno analitiko, ne pa za prodajo komercialnih podatkov – zato smo ga izpustili. Vendar je protislovje med vnosom v trgovini in pravilnikom o zasebnosti resnično. Če v pravilniku založnika piše »Prodano ali deljeno: Da«, vnos v trgovini pa nasprotno, kateremu naj uporabniki zaupajo?

Ko razširitve vaših zaposlenih prodajajo podatke

Od 82 potrjenih prodajalcev jih je 29 orodij za prodajno inteligenco B2B. Njihovo poslovanje is podatke, zato samo razkritje ni presenečenje. Ne štejemo jih skupaj z razširitvami, namenjenimi potrošnikom.

Vendar pa spadajo v ta pogovor. Te razširitve so nameščene na korporativnih računalnikih. To pomeni, da se vedenje zaposlenih pri brskanju, kot so interni URL-ji, nadzorne plošče SaaS in raziskovalna dejavnost, prenaša v komercialne baze podatkov, ki jih lahko kupijo vaši konkurenti. Tveganje ni v tem, da bi bili uporabniki prevarani. Gre za to, da korporativni podatki odhajajo prek kanala, ki ga nihče ne spremlja.

Kaj bi morale varnostne ekipe storiti glede tega

Večina varnostnih ocen razširitev se osredotoča na dovoljenja ali znane znake zlonamerne programske opreme – označevanje razširitev, ki zahtevajo prekomerni dostop ali se ujemajo z informacijami o grožnjah. To zazna zlonamerno programsko opremo. Ne zazna razširitve, ki si odkrito pridržuje pravico do prodaje vaših podatkov brskanja.

Podaljšanje z razkritjem o prodaji podatkov ni hipotetično tveganje. Gre za ustaljeno poslovno prakso, ki je del dokumenta, ki so ga vaši zaposleni sprejeli, ne da bi ga prebrali.

Tri vprašanja, ki si jih je vredno zastaviti: 

1. Katere razširitve so nameščene v brskalnikih zaposlenih? 
2. Katere podatke imajo ti založniki pravico zbirati ali prodajati? 
3. Ali bi lahko dejavnost brskanja v podjetjih prehajala v komercialne nabore podatkov?

Večina brskalnikov že podpira centralizirano upravljanje razširitev prek pravilnikov za podjetja – Chrome ExtensionSettings, Edge Group Policys, Firefox Enterprise Configurations. Če nimate pravilnika o upravljanju razširitev, je to prvi korak. Če ga imate, dodajte pregled pravilnika o zasebnosti med merila za ocenjevanje. Dovoljenja sama po sebi ne povedo dovolj.

V ta namen je LayerX dodal nov filter za zaznavanje in filtriranje (in po želji blokiranje) razširitev, ki sploh nimajo pravilnika o zasebnosti ali si pridržujejo pravico do prodaje osebnih podatkov.

Razmislite o blokiranju razširitev, ki razkrivajo prodajo uporabniških podatkov ali sploh ne objavljajo pravilnika o zasebnosti.

Slika 5. Filter zasebnosti podatkov razširitve LayerX  

Bottom Line

Razširitve brskalnika so med najmočnejšimi in najmanj preučenimi orodji na spletu. Čeprav se velik del poudarka osredotoča na zlonamerne programe, ki aktivno kradejo uporabniške in poslovne podatke, se kršitve zasebnosti morda zdijo vsakdanje, a so lahko tudi tvegane.

Pregledovanje in branje pravilnika o zasebnosti vsake razširitve, ki jo ima vsak uporabnik v vaši organizaciji, lahko privede do stotin ali tisočev posameznih razširitev; to očitno ni izvedljivo.

Namesto tega morajo organizacije začeti uvajati avtomatizirana orodja, ki lahko omejijo sumljive razširitve in upoštevajo nastavitve zasebnosti.