Extensiones de Chrome, Firefox con hasta 4 Se han encontrado millones de instalaciones con fugas de datos personales confidenciales

Lo he visto registrarse para un vuelo y he visto a su médico recargar una receta.

He echado un vistazo dentro de las redes corporativas a los informes sobre cohetes defectuosos. Si quisiera, incluso podría haber abierto una declaración de impuestos que solo compartió con su contador.

Encontr√© sus datos porque est√°n a la venta en l√≠nea. A√ļn m√°s aterrador: est√° sucediendo debido al software que probablemente instal√≥ usted mismo.

Mi √ļltima investigaci√≥n sobre la vida secreta de nuestros datos no es un simulacro de incendio. Trabajando con un investigador de seguridad independiente, encontr√© tantos como 4 millones de personas han estado filtrando secretos personales y corporativos a trav√©s de Chrome y Firefox. Incluso un colega en la sala de redacci√≥n de The Washington Post qued√≥ al d√≠a. Cuando les dijimos a los fabricantes de navegadores Google y Mozilla, cerraron estas filtraciones inmediatamente, pero probablemente solo identificamos una fracci√≥n del problema.

La ra√≠z de este choque de trenes de privacidad son las extensiones del navegador. Tambi√©n conocidos como complementos y complementos, son peque√Īos programas utilizados por casi la mitad de todos los usuarios de Internet de escritorio para mejorar la navegaci√≥n, como buscar cupones o recordar contrase√Īas. La gente los instala asumiendo que cualquier software ofrecido en una tienda administrada por Chrome o Firefox tiene que ser leg√≠timo.

No. A. Todos. Algunas extensiones tienen un ajetreo lateral al espiar. Desde una posición privilegiada en su navegador, pasan información sobre dónde navega y qué ve en una economía de datos turbios. Piense en todo lo que hace en su navegador en el trabajo y en su hogar: es un proxy digital para su cerebro. Ahora imagine esos clics que salen de su computadora para ser recolectados por comercializadores, intermediarios de datos o hackers.

Algunas extensiones hacen que la vigilancia suene como un buen negocio: esta semana, Amazon Estaba ofreciendo a la gente $ 10 para instalar su extensi√≥n Asistente. En la letra peque√Īa, Amazon dijo que la extensi√≥n recopila su historial de navegaci√≥n y lo que hay en las p√°ginas que ve, aunque todos los datos permanecen dentro de la compa√Ī√≠a gigante. (Amazon El director ejecutivo, Jeff Bezos, es due√Īo de The Washington Post. Los investigadores acad√©micos dicen que hay miles de extensiones que recopilan datos de navegaci√≥n, muchas de ellas con pr√°cticas de datos enga√Īosas o simples, que acechan en las tiendas en l√≠nea de Google e incluso en Mozilla, que respeta la privacidad.

Las extensiones que encontramos vendiendo sus datos muestran cuán peligrosa puede ser la vigilancia del navegador. Lo que es inusual de esta filtración es que tenemos que ver cómo se lleva a cabo. Este no es un problema de privacidad teórico: aquí es exactamente cómo se capturaron y vendieron los datos de millones de personas, y las protecciones fallidas de los creadores de navegadores que lo permitieron.

– – –

No me di cuenta de la magnitud del problema de extensi√≥n hasta que me enter√© de Sam Jadali. Dirige un negocio de alojamiento de sitios web y, a principios de este a√Īo, encontr√≥ algunos de los datos de sus clientes en venta en l√≠nea. Descubrir c√≥mo sucedi√≥ eso se convirti√≥ en una obsesi√≥n de seis meses.

Jadali encontr√≥ los datos en un sitio web llamado Nacho Analytics. Solo un peque√Īo jugador en la econom√≠a de datos, Nacho se factura a s√≠ mismo en su sitio web como un servicio de inteligencia de marketing. Ofrece informaci√≥n sobre lo que se est√° haciendo clic en casi cualquier sitio web, incluidas las direcciones web reales, por tan solo $ 49 por mes.

Esa información, afirma Nacho, proviene de personas que optan por ser rastreados, y redime la información de identificación personal.

Cuanto más profundo Jadali miró a Nacho, más descubrió que iba más allá de los datos de marketing. Direcciones web: todo lo que se ve después de las letras "http": los títulos de las páginas y otros registros de navegación pueden parecer que no exponen mucho. Pero a veces contienen sitios secretos que se olvidan de esconder.

Jadali encontr√≥ nombres de usuario, contrase√Īas y coordenadas de GPS, aunque Nacho dijo que borra informaci√≥n personal de sus datos. "Empec√© a darme cuenta de que esto era una filtraci√≥n a una escala catastr√≥fica", me dijo Jadali.

Lo que me mostró hizo que me quedara boquiabierto. Tres ejemplos:

РDesde DrChrono, un servicio de registros médicos, vimos los nombres de pacientes, médicos e incluso medicamentos. De otro servicio, llamado Kareo, vimos nombres de pacientes.

– Desde Southwest, vimos los nombres y apellidos, as√≠ como los n√ļmeros de confirmaci√≥n, de las personas que se registraron en los vuelos. Desde United vimos apellidos y n√ļmeros de registro de pasajeros.

РDesde OneDrive, el servicio de almacenamiento en la nube de Microsoft, vimos cien documentos llamados "impuestos". No hicimos clic en ninguno de estos enlaces para evitar una mayor exposición de datos confidenciales.

No eran solo secretos personales. Los empleados de más de 50 grandes corporaciones estaban exponiendo en qué estaban trabajando (incluyendo información de alto secreto) en los títulos de los memos y los informes de proyectos. Incluso había información sobre redes corporativas internas y códigos de firewall. Esto debería poner muy nerviosos a los departamentos de seguridad de TI.

Jadali document√≥ sus hallazgos en un informe titulado "DataSpii", y pas√≥ las √ļltimas dos semanas revelando las filtraciones a las compa√Ī√≠as que identific√≥, muchas de las cuales cree que podr√≠an hacer un mejor trabajo manteniendo los secretos fuera de los datos del navegador en riesgo. Tambi√©n me puse en contacto con todas las empresas que nombre en esta columna. Kareo y Southwest me dijeron que est√°n eliminando nombres de los datos de la p√°gina.

Me pregunt√© si Jadali podr√≠a encontrar alg√ļn dato dentro del Washington Post. Poco despu√©s de preguntar, Jadali me pregunt√≥ si ten√≠a un colega llamado Nick Mourtoupalas. En Nacho, Jadali pod√≠a verlo haciendo clic en nuestros sitios web internos. Mourtoupalas acababa de ver una p√°gina sobre los internos de verano. Durante meses, probablemente hab√≠a filtrado mucho, mucho m√°s.

Llamé a Mourtoupalas, un ayudante de redacción. Perdone la interrupción, dije, pero su navegador tiene una fuga.

"Oh, wow, oh, wow", dijo Mourtoupalas. √Čl nunca hab√≠a "optado" para que su navegaci√≥n web fuera rastreada. "¬ŅQu√© he hecho mal?"

– – –

Le pregunté a Mourtoupalas si alguna vez le había agregado algo a Chrome. Levantó el tablero de instrumentos de sus extensiones y descubrió que había instalado 17 de ellas. "No descargué nada que pareciera loco o sombrío", dijo.

Uno de ellos se llamaba Hover Zoom. Se comercializa en Chrome Web Store y su sitio web como una forma de ampliar las fotos cuando coloca el mouse sobre ellas. Mourtoupalas record√≥ haberlo aprendido en Reddit. A principios de este a√Īo, ten√≠a 800.000 usuarios.

Cuando instala Hover Zoom, aparece un mensaje que dice "puede leer y cambiar su historial de navegación". Hay pocos indicios de que Hover Zoom esté en el negocio de vender esos datos.

Trat√© de contactar a todos los contactos que pude encontrar para los fabricantes de Hover Zoom. Una persona, Romain Vallet, me dijo que no hab√≠a sido su due√Īo durante varios a√Īos, pero se neg√≥ a decir qui√©n era ahora. Nadie m√°s respondi√≥.

Jadali prob√≥ los v√≠nculos entre las extensiones y Nacho instalando un mont√≥n y observando si sus datos aparec√≠an a la venta. Hicimos algunos de estos juntos, conmigo como una v√≠ctima dispuesta. Despu√©s de instalar una extensi√≥n llamada PanelMeasurement, Jadali me mostr√≥ c√≥mo pod√≠a acceder al iPhone privado y Facebook fotos que abr√≠ en Chrome, as√≠ como un documento de OneDrive que hab√≠a llamado "Documento privado de Geoff". (Para encontrar lo √ļltimo, todo lo que ten√≠a que hacer era buscar los t√≠tulos de la p√°gina en Nacho para "Geoff").

En total, la investigación de Jadali identificó seis extensiones sospechosas de Chrome y Firefox con más de unos pocos usuarios: Hover Zoom, SpeakIt !, SuperZoom, SaveFrom.net Helper, FairShare Unlock y PanelMeasurement.

Todos ellos declaran en sus términos de servicio, políticas de privacidad o descripciones que pueden recopilar datos. Pero solo dos de ellos, FairShare Unlock y PanelMeasurement, destacan explícitamente a los usuarios que recopilan datos de actividad del navegador y prometen recompensar a las personas por navegar en la Web.

"Si me he enamorado de usar esta extensión, sé que cientos de miles de otras personas también lo han hecho fácilmente", me dijo Mourtoupalas. Ahora ha desactivado todas las extensiones excepto tres, cada una de una empresa bien conocida.

– – –

Después de revelar las filtraciones a los fabricantes de navegadores, Google desactivó remotamente siete extensiones y Mozilla hizo lo mismo con otras dos (además de una que se deshabilitó en febrero). Juntos, habían contado más de 4 millones de usuarios. Si tienes alguno de ellos instalado, ya no deberían funcionar.

Una firma llamada DDMR que hizo FairShare Unlock y PanelMeasurement me dijo que la prohibición era injusta porque buscaba el consentimiento del usuario. (Se negó a decir quiénes eran sus clientes, pero dijo que sus términos prohibían a los clientes vender información confidencial). Ninguno de los otros fabricantes de extensiones respondió a mis preguntas sobre por qué recopilaron datos de navegación.

Unos días después del cierre, Nacho publicó un aviso en su sitio web que había sufrido una interrupción de datos "permanente" y ya no aceptaría nuevos clientes, ni proporcionaría nuevos datos para los existentes.

Pero eso no significa que este problema haya terminado.

Investigadores de la Universidad Estatal de Carolina del Norte probaron recientemente cu√°ntas de las 180,000 extensiones de Chrome disponibles filtran datos confidenciales. Ellos encontraron 3, 800 de estas extensiones, y las 10 m√°s populares solo tienen m√°s de 60 millones de usuarios.

"No todas estas compa√Ī√≠as son maliciosas, o lo hacen a prop√≥sito, pero tienen la capacidad de vender sus datos si lo desean", dijo Alexandros Kapravelos, profesor de inform√°tica que trabaj√≥ en el estudio.

Los fabricantes de extensiones a veces se retiran vendiendo a compa√Ī√≠as que convierten sus extensiones populares en Hoovers de datos. Las 382 extensiones que los sospechosos de Kapravelos est√°n en el negocio de venta de datos tienen casi 8 millones de usuarios. "No existe una regulaci√≥n que les impida hacer esto", dijo.

Entonces, ¬Ņpor qu√© no lo detienen Google y Mozilla? Los investigadores han estado haciendo alardear las infames extensiones por a√Īos, y las compa√Ī√≠as dicen que investigan lo que hay en sus tiendas. "Queremos que las extensiones de Chrome sean seguras y preserven la privacidad, y la detecci√≥n de violaciones de pol√≠ticas es esencial para ese esfuerzo", dijo el director senior de Google, Margret Schmidt.

Pero claramente es insuficiente. Jadali encontr√≥ que dos extensiones esperaron de tres a cinco semanas para comenzar a filtrar datos, y sospecha que pueden haberse retrasado para evitar la detecci√≥n. Google anunci√≥ recientemente que comenzar√≠a a requerir extensiones para minimizar los datos a los que acceden, entre otros cambios t√©cnicos. Mozilla dijo que su enfoque reciente tambi√©n ha sido limitar los da√Īos que pueden hacer los complementos.

Un problema tan grande es una industria de datos que se ha vuelto arrogante acerca de convertir nuestras vidas en su materia prima.

En una entrevista, el director ejecutivo de Nacho, Mike Roberts, no dir√≠a d√≥nde obtuvo sus datos. Pero Jadali, dijo, viol√≥ los t√©rminos de servicio de Nacho al observar informaci√≥n personal. "Ning√ļn cliente real de Nacho Analytics estaba mirando estas cosas. Los √ļnicos que vieron informaci√≥n privada fueron ustedes", dijo Roberts.

No estoy seguro de cómo podría saber eso. Había tantos secretos en Nacho que es imposible rastrear todas las formas en que podrían haberse usado.

Su defensa de Nacho se redujo a esto: es así como funciona Internet.

Roberts dijo que cre√≠a que las personas que aportaron datos a Nacho, incluido mi colega, estaban "informadas". A√Īadi√≥: "Supongo que no me sorprender√≠a que algunas personas no sepan lo que hace cada herramienta o sitio web con sus datos".

Nacho no es tan diferente, dijo, de otros en su industria. "La diferencia es que quería nivelar el campo de juego y poner el mismo poder en manos de los mercadólogos y empresarios, y eso creó mucha más transparencia", dijo. "En cierto modo, esa transparencia puede ser como mirar un espejo negro".

√Čl no est√° del todo equivocado. Las grandes franjas de la industria tecnol√≥gica tratan el seguimiento como una forma aceptable de ganar dinero, ya sea que la mayor√≠a de nosotros nos demos cuenta de lo que realmente est√° sucediendo. Amazon le dar√° un cup√≥n de $ 10 para ello. Google rastrea sus b√ļsquedas, e incluso su actividad en Chrome, para crear un expediente lucrativo sobre usted. Facebook Hace lo mismo con tu actividad en sus aplicaciones, y apaga.

Por supuesto, esas empresas no suelen dejar su información personal en la Internet abierta para la venta. Pero solo porque está oculto no hace que sea menos aterrador.

© The Washington Post 2019

. (tagsToTranslate) extensiones de chrome para firefox con hasta 4 Se encontraron millones de instalaciones con fugas de datos personales confidenciales firefox (t) chrome