在其網頁上,出版商 Web Of Trust (WOT) 將自己描繪成好心的撒瑪利亞人,隨時準備為網路使用者提供協助。它的瀏覽器擴充功能顯示哪些網站值得信賴,哪些網站應該避免。它還可以防止詐欺企圖、惡意軟體和連結。簡而言之,人們可能會認為這是一項實用且值得稱讚的服務。但在這美麗的外表背後,實際上隱藏著一項基於用戶個人資料的業務。
一個調查德國兩家視聽節目 Panorama 和 Zapp 的記者進行的調查顯示,WOT 擴充功能秘密收集其 1.4 億用戶的瀏覽數據,並將其轉售給第三方公司,而無需實際匿名返回。記者能夠查閱這些洩漏的數據,發現它有時會洩漏私密或機密資訊:法官的施虐受虐激情、媒體公司的收入、毒品的網路搜尋等。在一種情況下,這些資料甚至允許存取經理的線上儲存帳戶,其中銀行對帳單、身分證件掃描件、財務文件、電話號碼等是關鍵。
被假大數據提供者困住
為了獲得這些數據,記者創建了一家冒充大數據專家的公司。從一開始,就有無數的供應商願意為他們提供資料來源。這些數據中就有 WOT 收集的數據。他們怎麼知道的?在安全研究員的幫助下,記者首先創建了一個測試網站,然後開始使用帶有WOT副檔名的瀏覽器上網。他們連接到任何類型的網站,同時定期訪問他們剛剛創建的網站。因此,他們能夠看到幾天後在服務提供者的資料庫中找到了他們的連接 URL。
閱讀:Hola,為網路犯罪分子提供客戶網路存取的 VPN
問題是這些 URL 是按原樣傳輸的,帶有所有 HTTP 參數,包括會話 ID。這些參數位於 URL 問號後面的字元中。因此,在某些情況下,完全有可能識別隱藏在其背後的用戶,甚至訪問帳戶。「最後,我成功地利用這些數據使自己去匿名化。它會讓你脊背發涼”,強調安全研究人員部落格文章。
編輯保持低調
當然,使用條件WOT 指定擴充功能收集資訊並且可以將其傳輸給第三方。但他們也確保這些數據是嚴格匿名的。新聞調查證明,最終事實並非如此。就出版商而言,它保持低調。在一個論壇筆記,它宣布將徹底修改其擴展,包括更好地過濾收集的數據。將來,用戶也可以選擇停用資料收集(選擇退出)。但這隱含地意味著它將預設保持啟動狀態...
WOT 當然不是唯一一家使用瀏覽器擴充功能進行此類資料交易的發布商。因此,在使用此類軟體之前,建議仔細閱讀使用條件。
