在其网页上,出版商 Web Of Trust (WOT) 将自己描绘成好心的撒玛利亚人,随时准备为互联网用户提供帮助。它的浏览器扩展表明哪些网站值得信赖,哪些网站应该避免。它还可以防止欺诈企图、恶意软件和链接。简而言之,人们可能会认为这是一项实用且值得称赞的服务。但在这美丽的外表背后,实际上隐藏着一项基于用户个人数据的业务。
一个调查德国两家视听节目 Panorama 和 Zapp 的记者进行的调查显示,WOT 扩展程序秘密收集其 1.4 亿用户的浏览数据,并将其转售给第三方公司,而无需实际匿名返回。记者能够查阅这些泄露的数据,发现它有时会泄露私密或机密信息:法官的施虐受虐激情、媒体公司的收入、毒品的网络搜索等。在一种情况下,这些数据甚至允许访问经理的在线存储帐户,其中银行对账单、身份证件扫描件、财务文件、电话号码等是关键。
被假大数据提供商困住
为了获得这些数据,记者创建了一家冒充大数据专家的公司。从一开始,就有无数的提供商愿意为他们提供数据源。这些数据中就有 WOT 收集的数据。他们怎么知道的?在安全研究员的帮助下,记者首先创建了一个测试网站,然后开始使用带有WOT扩展名的浏览器上网。他们连接到任何类型的网站,同时定期访问他们刚刚创建的网站。因此,他们能够看到几天后在服务提供商的数据库中找到了他们的连接 URL。
问题是这些 URL 是按原样传输的,带有所有 HTTP 参数,包括会话 ID。这些参数位于 URL 问号后面的字符中。因此,在某些情况下,完全有可能识别隐藏在其背后的用户,甚至访问帐户。“最后,我成功地利用这些数据使自己去匿名化。它会让你脊背发凉”,强调安全研究人员博客文章。
编辑保持低调
当然,使用条件WOT 指定扩展程序收集信息并且可以将其传输给第三方。但他们也确保这些数据是严格匿名的。新闻调查证明,最终事实并非如此。就出版商而言,它保持低调。在一个论坛笔记,它宣布将彻底修改其扩展,包括更好地过滤收集的数据。将来,用户还可以选择停用数据收集(选择退出)。但这隐含地意味着它将默认保持激活状态......
WOT 当然不是唯一一家使用浏览器扩展进行此类数据交易的发布商。因此,在使用此类软件之前,建议仔细阅读使用条件。
