Web of trust проводит технические работы. Расширение Web of Trust удалили из Chrome Web Store. Сервисы Web of Trust оказались скомпрометированы

Мало кто из нас не пользуется хотя бы одним расширением для браузера - они уже давно плотно вошли в нашу жизнь. Но всем ли расширениям можно доверять?

Довольно распространенное расширение под названием Web Of Trust оказалось пойманным на сборе данных обо всех своих пользователях и их продаже неким третьим компаниям.

В ходе расследования от немецкого телеканала NDR выяснилось, что в Web Of Trust зияет множество дыр. А ведь это одно из самых популярных расширений для обеспечения безопасности - 140 миллионов пользователей!

Существует расширение с 2007 года, доступно пользователям Chrome и Firefox. Его задача - сбор и структуризация отзывов о веб-сайтах. Но оказалось, что о безопасности собственно пользователей его разработчики не так уж и пекутся - оно собирает данные о посещаемых пользователями сайтах, которые разработчики перепродают третьим лицам.

Что самое поразительное в этой истории - Web Of Trust не слишком старется сделать данные максимально анонимными. То есть установить вашу реальную личность по собранным расширением данным - не слишком сложная задача.

Конечно, в правилах использования расширения указывается, что оно собирает данные о вас. Список следующий: IP-адрес, данные о геолокации, User Agent устройства (то есть данные об устройстве, ОС и браузере), локальные дата и время, веб-адреса и логи использования браузера в формате, который ничем не выдаст вашу личность.

Но выяснилось, что данные, которые реально собирает этот сервис, имеют очень мало общего со списком в правилах. В действительности о каждом пользователе расширение знает следующее:

1. Имя аккаунта.
2. Адрес электронной почты.
3. Покупательские привычки.
4. Планы на путешествия.
5. Возможные заболевания.
6. Сексуальные предпочтения.
7. Зависимости.
8. Конфиденциальные данные компаний.
9. Текущие полицейские расследования.
10. Вся активность браузера, включая список посещенных сайтов.

Вероятно, вы уже представляете, насколько просто найти человека, имея на руках все эти данные. Mozilla уже удалила расширение из своего магазина, а из Chrome Web Store авторы расширения удалили его сами.

Авторы WOT уже выступили с заявлением , в котором говорилось: «Мы очень серьезно относимся к обязательствам перед вами. Мы уже приложили большие усилия к тому, чтобы удалить все данные, с помощью которых можно идентифицировать конкретного пользователя. Впрочем, мы не исключаем, что деанонимизация все же остается возможной для очень небольшого круга пользователей расширения».

По словам компании, были предприняты следующие шаги:

• Пересмотр политики конфиденциальности, чтобы в ней было явно указано, что ждет пользователей расширения.
• Добавление в меню расширения опции, которая позволит пользователям запретить сбор любых данных о них.
• Для пользователей, которые не имеют ничего против сбора такой информации, будет сделано все необходимое, чтобы даже наличие всех данных не позволяло провести деанонимизацию пользователя.

Впрочем, можно ли верить всем обещаниям компании после такого просчета?

Популярное расширение Web of Trust для оценки надежности посещаемых сайтов было удалено из каталогов Chrome Web Store, Opera Addons и Firefox Addons.

Web of Trust (WoT) – это проект, который ставит своей целью предупреждать пользователей о загрузке ненадежных сайтов. Работает это следующим образом. Вы устанавливаете расширение, которое цветом своей иконки сообщает о степени безопасности сайта. Этим расширением уже пользуются свыше 140 млн человек.

В основе оценки лежат отзывы простых пользователей, которые принимаются без какой-либо предварительной проверки. Не трудно догадаться, что подобная механика уже приводила к проблеме накрутки рейтинга (как в плюс, так и в минус). Причем администрация Web of Trust далеко не всегда готова разбираться в причинах. Хотя удалили их из каталогов совсем не за это.

Согласно расследованию немецкого телеканала, история посещений миллионов пользователей сети оказалась в свободной продаже. Эту историю тайно собирали многие расширения для браузеров, среди которых был пойман и проект Web of Trust. Журналисты купили эту базу и выяснили, что она содержит историю пользователей.

Согласно обновленному пользовательскому соглашению , Web of Trust собирает и может передавать третьим лицам такую информацию, как IP-адрес пользователя, посещаемые им ресурсы, данные о его кликах, точное время. Разработчики расширения заявляют, что передается только анонимная информация, но это далеко не всегда так. Например, одних только адресов страниц уже зачастую достаточно для того, чтобы вычислить человека. Страницы социальных сетей или мессенджеров уже содержат в своих адресах ID конкретных людей.

Если верить изданию FAZ , расширение было удалено из каталога Firefox за нарушения правил, в частности, за скрытие факта сбора и передачи данных третьим лицам. Дело в том, что новое пользовательское соглашение было опубликовано только на сайте проекта, но не в каталоге расширений. Можно предположить, что из Chrome Web Store их удалили по той же причине. Это значит, что разработчикам достаточно обновить соглашение в каталогах, и проблема удаления будет решена.

А вот проблему падения своей собственной репутации так легко не решить. В факте сбора истории для собственных нужд нет ничего плохого. Но вот желание перепродать эту информацию, да еще и без должного информирования пользователи вряд ли простят. Причем уже не важно, захотят ли разработчики вырезать функцию сбора данных, остановят ли перепродажу или оставят все на месте. Доверие так легко не вернуть.

Upd . Официальный ответ команды WoT . Если коротко: из Chrome Web Store мы удалились сами после удаления из Firefox Addons, скоро примем комплект мер, чтобы нашим пользователям стало лучше: пересмотрим соглашение, добавим опцию запрета сбора истории, подумаем, как сделать историю еще более анонимной.

Что разработчики популярного расширения для браузеров MyWOT (WOT или Web Of Trust), чье суммарное число скачиваний превышает 140 000 000, не только собирали данные о пользователях и их истории браузинга, но и продавали необезличенную информацию третьим сторонам. После публикации собранных журналистами данных, Google и Mozilla удалили аддон со своих порталов.

Журналисты пишут, что им удалось получить доступ к десяти миллионам URL, которые посещали пользователи WOT. Хотя разработчики аддона утверждали, что защищают анонимность своих пользователей, на деле оказалось, что их личности легко установить, так как URL зачастую содержат имена пользователей, email-адреса, ФИО и так далее. Журналисты пишут, что им без труда удалось идентифицировать 50 человек из контрольной выборки, а в истории пользователей удалось обнаружить данные о полицейских расследованиях, узнать сексуальные предпочтения судьи, закрытые финансовые данные коммерческих компаний, обнаружить пользователей, которые искали наркотики, проституток и так далее.

На официальном сайте расширения сказано, что за более чем десять лет существования оно было скачано свыше 140 млн раз. Злая ирония в том, что изначально аддон предназначался для присвоения репутации сайтам, которые посещают его пользователи. К примеру, ресурсы могли получить маркировку «небезопасно для детей», а также пользователи WOT могли пожаловаться на спам или неуважение к приватности данных.

Согласно данным все того же официального сайта WOT, аддон собирал следующие данные о пользователях, конечно же, на условиях полной анонимности:

Журналисты NDR рассказали, что разработчики расширения не сумели сделать собранную информацию обезличенной, но это не помешало им продавать данные заинтересованным лицам. Соглашение действительно предусматривало, что WOT может «делиться» собранной информацией с компанией-учредителем или ее партнерами, однако о продаже там не говорится ничего.

Однако помимо слежки за пользователями у WOT обнаружились и проблемы с безопасностью. Так, после репортажа NDR, независимый исследователь Роб Ву (Rob Wu) провел аудит кода WOT и опубликовал полученные результаты на GitHub . Ву пишет, что теоретически аддон способен выполнить произвольный код на любой странице, в том числе на привилегированных страницах браузера. Исследователь отмечает, что пока разработчики WOT данной функцией не злоупотребляли, но само ее наличие все равно вызывает беспокойство.

Издание The Register представителей WOT, которые уже прокомментировали происходящее. Разумеется, компания заявила, что относится к безопасности и приватности пользователей очень внимательно и делает всё, чтобы сохранить их анонимность. В компании заявили, что система, отвечавшая за «очистку» (обезличивание) данных, по всей видимости, работала не слишком хорошо, однако утечка информации коснулась «очень малого числа пользователей WOT». Разработчики сообщили, что по собственной инициативе удалили WoT со всех платформ и пообещали исправиться в будущем, представив обновленную версию аддона, где будут учтены все ошибки.