Из браузерного «защитника» Web Of Trust потекли пользовательские персональные данные

Roem.ru

Журналисты немецкого телеканала Norddeutscher Rundfunk обнаружили, что разработчики популярного расширения для браузеров MyWOT (Web Of Trust), чье суммарное число скачиваний превышает 140 млн пользователей, не смогли обеспечить анонимность пользователей при продаже «обезличенной» информации о своих клиентах. Создатели аддона собирали данные об истории посещений своих клиентов и затем продавали эти базы маркетологам, удалив из них данные о конкретных людях.

634ужас

Журналисты Norddeutscher Rundfunk смогли деанномизировать клиентов MyWO, наложив базу на публично доступные данные, а также используя некоторые ошибки в очистке информации от персональных данных, например сохранившиеся в базе адреса e-mail и ссылки, содержащие имя пользователя. Таким образом удалось в том числе обнаружить пользователей, которые искали порно, наркотики, проституток, причем среди них оказались госслужащие, включая одного судью. При анализе MyWOT пользователями GitHub в его коде также был обнаружен бэкдор, позволяющий загрузить выполняющийся с правами дополнения вредоносный скрипт.

После того, как информация была обнародована, Mozilla Firefox, Google Chrome и Opera удалили аддон из своих репозиториев, однако пользователям, которые уже скачали MyWOT, нужно удалять его самостоятельно. О том, что очищенные от персональной информации данные о поведении пользователей интернета могут быть достаточно легко деанонимизированны, ранее предупреждали многие эксперты по безопасности.

Например немецкая журналистка Свея Эккерт и ученый Андреас Дьюс летом этого года рассказывали об итогах своего эксперимента по денанонимизации. Они под видом некой маркетинговой компании купили одну из анонимных баз по поведению пользователей, после чего исследователи спарсили данные за тот же месяц с публичных сайтов — Twitter, Facebook, YouTube, Google Maps. Совместив эти две базы, они деанонмизировали значительное число пользователей, также обнаружив на них большое количество компромата.

Еще в 2009 году Netflix пытаясь создать систему рекомендаций для своих клиентов отдал обезличенную историю поведения пользователей сторонним разрабочикам, что также привело к деаноннимизации, а одна из подписчиков сервиса подала на Netflix в суд, так как компания по ее мнению разгласила данные об ее сексуальной ориентации.