Ibinebenta ng mga Extension Developer ang Data ng Hindi bababa sa 6.5 Milyong User – At Lahat ng Ito ay Ganap na Legal

Executive Buod:

Natuklasan sa isang bagong pananaliksik ng LayerX Security ang maraming network ng mga extension ng browser na nangongolekta ng data ng user at muling ibinebenta ito para kumita – at lahat ng ito ay ganap na legal. Dahil, hindi tulad ng mga malisyosong extension na nagbabalatkayo bilang mga lehitimong extension at ginagawa ang kanilang gusto nang palihim, ang mga extension na ito ay tahasang nagsasabi sa mga user na kokolektahin at ibebenta nila ang kanilang data. Naroon mismo ito sa Patakaran sa Pagkapribado; maliban na lang sa walang nagbabasa nito.

Sinuri ng LayerX ang mga patakaran sa privacy ng libu-libong extension at natuklasan ang mahigit 80 iba't ibang extension na nangongolekta at nagbebenta ng data ng customer. Kabilang sa ilan sa mga extension na ito ang:

• Isang network ng 24 na media extension na naka-install sa 800,000 user at nangongolekta ng viewing data at demographic information sa mga pangunahing streaming platform tulad ng Netflix, Hulu, Disney+, Amazon Prime Video, HBO, Apple TV, at iba pa.
• 12 magkakahiwalay na ad blocker na may pinagsamang install base na mahigit 5.5 milyong user na hayagang nagbebenta ng data ng user
• Halos 50 iba pang mga extension, na may mahigit 100,000 user sa kabuuan, na nangolekta at muling nagbenta ng data sa pag-browse ng mga user

Bagama't maaaring mukhang inosente ang mga extension ng browser, itinatampok ng mga natuklasang ito ang pagkakalantad sa privacy na maaaring magmula sa hindi kontroladong paggamit ng mga extension.

Ang Maikling Letra na Nagpapa-Legal sa Lahat

Mga patakaran sa privacy. Ang pagbabasa ng mga ito ay parang panonood sa pintura na natuyo. Para sa karamihan ng mga gumagamit, mas masahol pa ito kaysa sa pagbabasa ng maliliit na letra sa kanilang mga kasunduan sa mortgage; at may sinasabi iyan.

Maliban na lang kung ginawa namin.

Sinuri ng mga mananaliksik sa seguridad ng LayerX na sina Dar Kahllon at Guy Erez ang mga patakaran sa privacy ng libu-libong extension ng browser na makukuha sa mga opisyal na tindahan. Isang bagay ang kanilang hinahanap: kung tahasang inilalaan ng publisher ang karapatan na magbenta ng data ng user.

At natagpuan namin sila. Ipinakita ng aming pagsusuri ang hindi bababa sa 80 ganitong mga extension, ang ilan sa mga ito ay gumagana nang magkakasama, at binuo ng iisang developer sa lahat ng mga extension. Mula sa mga ad blocker at streaming tool hanggang sa mga helper sa aplikasyon sa trabaho, mga extension sa bagong tab, at mga platform ng B2B sales intelligence.

Karamihan sa mga patakarang ito ay hindi nagsasabing “ibinebenta namin ang iyong data.” Sinasabi nila na “maaari kaming magbenta.” Ito ay isang legal na bakod – ngunit nangangahulugan ito na ang iyong data ay maaaring ibenta anumang oras, at sumang-ayon ka na rito. Narito ang hitsura nito sa pagsasagawa:

"Maaari naming ibenta o ibahagi ang iyong personal na impormasyon sa mga ikatlong partido."

"Maaaring ibenta o ibahagi ang impormasyong ito sa mga kasosyo sa negosyo."

Ano? May mga Patakaran sa Privacy ang mga Extension ng Browser?!

Bueno, para maging patas, karamihan ay hindi.

Pigura 1. Transparency ng Patakaran sa Pagkapribado

Ayon kay LayerX Ulat sa Seguridad ng Enterprise Browser Extension 2026, 71% ng lahat ng extension sa Chrome Web Store ay hindi man lang naglalathala ng patakaran sa privacy. 

Bilang resulta, mahigit 73% ng mga gumagamit ang may kahit isang naka-install na extension na walang patakaran sa privacy, at walang transparency sa kung paano pinangangasiwaan ang kanilang data. Nangangahulugan ito na ang aming pagsusuri ay maaari lamang umasa sa 29% na mayroon ding patakaran sa privacy. 

At kung ipagpapalagay natin na ang ilan sa mga extension na walang patakaran sa privacy ay magbebenta rin ng iyong data – at walang dahilan para ipagpalagay na mas mainam ang mga ito – ang tunay na bilang ng mga extension na maaaring magbenta ng iyong data sa buong Chrome Web Store ay nasa sampu-sampung libo.

Paano Namin Sinuri ang Datos

Gumawa kami ng pipeline upang suriin ang mga patakaran sa privacy na nauugnay sa mga extension ng browser sa mga opisyal na tindahan, na pinagsasama ang awtomatikong klasipikasyon at manu-manong pag-verify.

Simula sa humigit-kumulang 9,000 extension na may mga URL ng patakaran sa privacy sa aming database, matagumpay naming nakuha at nasuri ang 6,666 na mga patakaran.

Ang pipeline ay tumakbo sa tatlong yugto:

1. Una, nilagyan ng marka ng klasipikasyon ng AI ang mga patakarang nagbubunyag ng pagbebenta, paglilisensya, o komersyal na paglilipat ng data ng user. Pagkatapos ay minarkahan namin ang mga tugmang may mataas na kumpiyansa para sa pagsusuri at manu-manong bineripika ang bawat na-mark na patakaran.
2. Nagsagawa ng manu-manong pagsusuri upang alisin ang mga maling positibo, kabilang ang:
   1. 1. Mga tool sa seguridad ng enterprise (hal., Fortinet, CrowdStrike) na nagruruta ng data sa pag-browse patungo sa sarili nilang mga server bilang bahagi ng inaasahang pag-uugali sa pag-filter ng web
      2. Mga karaniwang pagsisiwalat sa CCPA ad-retargeting (hal., HubSpot, Calendly), kung saan ang pagbabahagi ng cookies sa mga platform tulad ng Google Ads ay maaaring teknikal na maituring na isang "benta" sa ilalim ng malawak na mga kahulugan
      3. Mga platform ng consensual data monetization (hal., Swash) kung saan ang mga user ay tahasang nag-o-opt in at binabayaran

   Kasama lamang sa panghuling dataset ang mga extension na ang mga patakaran sa privacy ay nagpapahiwatig ng tunay na komersyal na pagbebenta ng data ng user sa mga third party.

3. Sa huling bilang, nakakita kami ng 82 natatanging extension sa 94 na listahan ng tindahan. 75 ang kasalukuyang nasa Chrome Web Store. Ang natitirang 7 ay naalis na – ngunit ang "naalis na" ay hindi nangangahulugang "na-uninstall." Ang mga extension na kinuha mula sa store ay maaaring manatiling aktibo sa mga browser na mayroon na nito.

Bagama't maaaring mukhang mababa ang mga bilang na ito, tandaan na ang mga bilang na ito ay para lamang sa mga extension na may mga patakaran sa privacy sa simula pa lamang (mas mababa sa isang-katlo ng lahat ng mga extension), at sa mga extension na talagang nagsasabi sa iyo kung ano ang ginagawa nila sa iyong data. Ang tunay na bilang ay halos tiyak na mas mataas.

Narito ang ilan sa aming mga pangunahing natuklasan:

Ang Imperyong QVI: Isang Hindi Nagpakilalang Tagapaglathala, 24 na Ekstensyon, 800,000 na Gumagamit

Habang nirerepaso ang mga kumpirmadong nagbebenta, isang pattern ang patuloy na lumalabas. Iba't ibang extension, iba't ibang streaming platform, ngunit iisa ang tatlong-letrang unlapi: QVI – pinaikling pangalan para sa “Quality Viewership Initiative.”

Ang tila walang kaugnayang mga tool ay pala iisang operasyon lamang: 24 na browser extension – 21 ang kasalukuyang aktibo, 3 ang inalis – na sumasaklaw sa halos lahat ng pangunahing serbisyo ng streaming.

• Netflix
• Hulu
• Disney +
• Amazon Prime Video
• HBO Max
• Paboreal
• Paramount +
• Tubi
• Apple TV +
• Crunchyroll

Lahat ay inilathala ni HideApp LLC, nakarehistro sa 1021 East Lincolnway, Cheyenne, Wyoming – isang adres na ibinahagi ng daan-daang iba pang mga LLC sa pamamagitan ng isang rehistradong serbisyo ng ahente – at nagpapatakbo sa ilalim ng tatak na "dogooodapp. "

Ang pinakamalaking mga extension sa network: 

• Pasadyang Larawan sa Profile para sa Netflix (200K na gumagamit)
• Hulu Ad Skipper (100K)
• Larawan sa Larawan ng Netflix (100K)
• Ad Skipper para sa Prime Video (60K)
• Pinalawig ang Netflix (60K)

Sa lahat ng 21 live extension, ang network ay umaabot sa halos 800,000 gumagamit.

Pigura 2. Pahina ng Extension sa Chrome Store para sa extension na “Custom profile picture for Netflix [QVI]”

Pero may sinasabi ang kanilang patakaran sa privacy na hindi sinasabi ng mga listahan ng tindahan. Nangongolekta ang mga extension na ito ng malawak na impormasyon, kabilang ang:

• Kasaysayan ng pagtingin
• Mga kagustuhan sa nilalaman
• Mga subscription sa platform
• Na-download na nilalaman
• Pag-uugali sa pag-stream 

Nangongolekta rin sila ng edad at kasarian – at kung hindi ka magbibigay ng demograpiko, itutugma nila ang iyong email sa mga database ng demograpiko ng mga third-party upang punan ang mga kakulangan.

Pigura 3. Ang datos na idineklara bilang nakalap ng patakaran sa privacy ng extension na “Custom profile picture for Netflix [QVI]”

Inilalarawan ng patakaran ang pagbebenta ng mga ulat sa mga tagalikha ng nilalaman at studio, mga platform ng streaming, mga kumpanya ng pananaliksik sa media, at mga ahensya ng marketing – kasama ang "mga organisasyong bumibili ng hindi nagpapakilalang data sa panonood."

Pagsama-samahin ang lahat ng ito at titingnan mo ang isang distributed audience-measurement system na tumatakbo sa loob ng mga browser ng mga user. Isang hindi nagpapakilalang publisher ang kumukuha ng mga gawi sa panonood sa bawat pangunahing streaming platform, na bumubuo ng impormasyon tungkol sa kung ano ang pinapanood ng halos 800,000 katao, kailan, at paano sila nakikipag-ugnayan sa nilalaman. Wala sa mga user na iyon ang nag-sign up para doon. Sa legal na paraan, tinanggap nila ang mga tuntunin nang i-click nila ang "Idagdag sa Chrome." Sa praktikal na paraan, walang nagbasa ng mga ito.

 

Mga Ad Blocker na Nagha-block ng Ilang Ad, at Nagbebenta ng Iyong Data sa Iba Pang Mga Ad

Kinumpirma namin walong ad blocker na naglalaan ng karapatang magbenta o magbahagi ng impormasyon ng user sa mga ikatlong partido. Mga tool na ini-install ng mga tao upang ihinto ang pagsubaybay – sa halip ay nagbebenta ng data ng pagsubaybay. Kapag pinagsama, umaabot sila sa mahigit 5.5 milyong user.

• Nakatayo AdBlocker (Ang mga gumagamit ng 3M) ay nagbebenta ng data mula sa pag-browse sa mga ikatlong partido para sa "mga layunin ng market analytics."
• Poper blocker (2M users) ay nagbubunyag ng mga nagbebentang identifier, aktibidad sa pag-browse, mga behavioral profile, at hinuhaang sensitibong data – kabilang ang mga kondisyon sa kalusugan, paniniwala sa relihiyon, at oryentasyong sekswal, lahat ay hinuha mula sa mga URL na iyong binibisita.
• Lahat ng Bloke, isang ad blocker para sa YouTube (500K user), ay nagbebenta ng hindi nagpapakilalang data “para sa mga layuning analitikal at komersyal.” Inilathala ng isang entidad na tinatawag na Curly Doggo Limited, na nakabase sa London.
• TwiBlocker (80K na gumagamit) ang nagbubunyag ng paglilipat ng data mula sa pag-browse sa mga ikatlong partido na "nagpoproseso o nagbebenta nito para sa mga layuning pang-analitikal."
• Sa mga lunsod o bayan AdBlocker (10K users) ay nagruruta ng browsing data at mga pag-uusap sa AI sa pamamagitan ng BiScience data broker.

Kung ang iyong ad blocker ay may patakaran sa privacy na mas mahaba sa dalawang talata, basahin ito.

Pigura 4. Itinatampok na Ad Blocker sa Chrome Store

Maaari Rin Ibenta ng mga Independent Operator ang Iyong Data

Hindi ito ang pinakamalaking mga extension sa listahan, ngunit ipinapakita nito kung gaano kalayo ang naaabot ng modelo ng pagbebenta ng data.

• Awtomatikong Pag-apply sa Trabaho sa Career.io (10K users) nakasaad sa patakaran nito na maaari nitong gamitin ang personal na datos na nakalap mula sa iyong resume upang ibenta sa mga ikatlong partido, kabilang ang mga data broker, para sa naka-target na advertising at profiling. Isang tool sa aplikasyon ng trabaho na nagbebenta ng iyong resume.
• Mga Cute ng Aso (6K users) ay isang extension para sa cute na wallpaper ng aso sa bagong tab. Nakumpirmang nagbebenta ng data sa pamamagitan ng Apex Media network.
• EmailOnDeck (10K users) ay isang pansamantalang serbisyo sa email – isang tool na ginagamit ng mga tao partikular kapag sila ay huwag gustong ibahagi ang kanilang totoong impormasyon. Nakasaad sa patakaran nito na maaari nitong ibenta, rentahan, o ibahagi ang mailing list nito.
• Survey Junkie ibinubunyag ang mga nagbebentang URL na binisita, datos ng clickstream, at "impormasyon na na-modelo" tungkol sa mga kagustuhan ng mga mamimili sa mga ahensya ng pananaliksik sa merkado, mga ahensya ng ad, at mga tagapagbigay ng data analytics.
• Dashy Bagong Tab (10K users) ay may markang “hindi nagbebenta ng iyong data” sa listahan ng Chrome Web Store nito. Ang aktwal nitong patakaran sa privacy ay nagmamarka ng data bilang “Nabenta o Ibinahagi: Oo.” ​​Naniniwala kami na ito ang lengguwahe ng pagsunod sa CCPA para sa karaniwang analytics, hindi sa pagbebenta ng komersyal na data – kaya naman hindi namin ito isinama. Ngunit ang kontradiksyon sa pagitan ng listahan ng store at ng patakaran sa privacy ay totoo. Kung ang sariling patakaran ng isang publisher ay nagsasabing “Nabenta o Ibinahagi: Oo” at ang listahan ng store ay nagsasabing kabaligtaran, alin ang dapat pagkatiwalaan ng mga user?

Kapag Nagbebenta ng Data ang mga Extension ng Iyong mga Empleyado

Sa 82 na kumpirmadong nagbebenta, 29 sa kanila ay mga B2B sales intelligence tools. Ang kanilang negosyo is datos, kaya ang pagsisiwalat mismo ay hindi nakakagulat. Hindi namin binibilang ang mga ito kasama ng mga extension na nakaharap sa mga mamimili.

Pero dapat silang mapasama sa usapang ito. Ang mga extension na ito ay nasa mga makina ng korporasyon. Nangangahulugan ito na ang pag-browse ng mga empleyado, tulad ng mga internal na URL, mga SaaS dashboard, at aktibidad sa pananaliksik, ay dumadaloy sa mga komersyal na database na maaaring bilhin ng iyong mga kakumpitensya. Ang panganib ay hindi tungkol sa pagkalinlang sa mga user. Ito ay tungkol sa data ng korporasyon na umaalis sa isang channel na walang nagmamasid.

Ano ang Dapat Gawin ng mga Security Team Tungkol Dito

Karamihan sa mga pagsusuri sa seguridad ng extension ay nakatuon sa mga pahintulot o kilalang malisyosong indikasyon – mga pag-flag ng mga extension na humihiling ng labis na pag-access o pagtutugma ng impormasyon tungkol sa banta. Nahuhuli nito ang malware. Hindi nito hinuhuli ang isang extension na hayagang may karapatang ibenta ang iyong data sa pag-browse.

Ang isang extension na may pagsisiwalat ng pagbebenta ng datos ay hindi isang hipotetikal na panganib. Ito ay isang nakasaad na kasanayan sa negosyo, na nakalagay sa isang dokumentong tinanggap ng iyong mga empleyado nang hindi binabasa.

Tatlong tanong na sulit itanong: 

1. Anong mga extension ang naka-install sa mga browser ng empleyado? 
2. Anong datos ang inaangkin ng mga publisher na iyon na may karapatang mangolekta o magbenta? 
3. Maaari kayang dumadaloy ang aktibidad ng pag-browse ng mga korporasyon sa mga komersyal na dataset?

Karamihan sa mga browser ay sumusuporta na sa sentralisadong pamamahala ng extension sa pamamagitan ng mga patakaran ng enterprise – ExtensionSettings ng Chrome, mga patakaran ng grupo ng Edge, mga configuration ng enterprise ng Firefox. Kung wala kang patakaran sa pamamahala ng extension, iyon ang unang hakbang. Kung mayroon ka, idagdag ang pagsusuri ng patakaran sa privacy sa pamantayan sa pagsusuri. Hindi sapat ang mga pahintulot lamang.

Dahil diyan, nagdagdag ang LayerX ng bagong filter para matukoy at masala (at ma-block, kung ninanais) ang mga extension na walang patakaran sa privacy, o may karapatang magbenta ng personal na data.

Isaalang-alang ang pag-block sa mga extension na maaaring nagbubunyag ng pagbebenta ng data ng user o hindi talaga nagpa-publish ng patakaran sa privacy.

Pigura 5. Filter ng Pagkapribado ng Data ng LayerX Extension  

Ang Ika-Line

Ang mga extension ng browser ay kabilang sa pinakamalakas at hindi gaanong sinusuri na mga tool sa web. Bagama't ang malaking bahagi ng pokus ay nasa mga malisyosong bagay na aktibong nagnanakaw ng data ng user at korporasyon, ang mga paglabag sa privacy ay maaaring parang pangkaraniwan, ngunit maaari ring maging mapanganib.

Ang pag-aaral at pagbabasa ng Patakaran sa Pagkapribado ng bawat extension na mayroon ang bawat user sa iyong organisasyon ay maaaring humantong sa daan-daan o libu-libong indibidwal na extension; malinaw na hindi iyon magagawa.

Sa halip, kailangang simulan ng mga organisasyon ang pag-deploy ng mga awtomatikong tool na maaaring maghigpit sa mga kahina-hinalang extension at isaalang-alang ang mga setting ng privacy.