流行的Chrome和Firefox扩展程序会将敏感的用户信息泄露给第三方经销商

 
谷歌Chrome和Mozilla Firefox中的热门浏览器扩展已被发现销售属于四百万用户的高度敏感数据，这是“黑暗数据经济”的一部分。
有问题的八个应用程序，其中一些有超过一百万用户，警告用户他们可以在安装之前“阅读并更改您访问的网站上的所有数据”，但未提供选择加入或退出政策将这些数据出售给第三方。
在安全与Sam的Sam Jadali和华盛顿邮报之间的联合曝光中，其中一个名为’DataSpii’的第三方是Nacho Analytics，该公司声称所有数据属于选择出售其数据的用户 – 没有这样的证据。
Nacho Analytics允许任何愿意支付每月49美元订阅费的人只需通过搜索URL即可访问其数据库中的所有信息。
调查期间研究人员可以轻松访问的数据类型包括存储在Microsoft OneDrive中的人员税务文档，用户名，密码，GPS坐标，带有全名的航班确认号码，甚至患者姓名以及他们的药物信息。
根据Jadali的说法，这些扩展所收集的数据只需要一个小时就会出现在一个在线数据销售网站上，其中一些可以通过一个月的免费试用获得。
在OneDrive文件被泄露的情况下，研究人员提供了关于这是如何发生的解释。
拿一个已经填写纳税申报表的人 – 然后他们使用OneDrive中的公共共享链接与他们的会计师分享该回报。如果会计师正在运行这些泄漏扩展中的一个，这会将纳税申报表发送到数据销售网站，则攻击者可以使用扩展程序的POST请求(例如1drv.ms)搜索数据库。然后，攻击者可以使用“税”搜索词搜索文件，然后他们就可以访问敏感文档。
扩展程序的入侵程度可以通过以下情况得到证明：即使在供应商停止所有用户的扩展功能之后，仍继续共享用户数据。
“我们继续观察我们的浏览活动是通过POST请求发送到[dat-selling网站]的服务器，”Jadali说。 “最终，当我们删除扩展时，数据收集停止了。”
在其他值得注意的发现中，研究人员发现了许多财富500强企业的“绝密”文件，这些企业的员工在不知不觉中暴露了公司的秘密项目。包括防火墙代码以及公司LAN网络映射方式的备忘录，项目报告和敏感信息的标题随时可供数据销售网站的任何客户使用。