Журналисты немецкого телеканала Norddeutscher Rundfunk (NDR) обнаружили, что разработчики популярного расширения для браузеров MyWOT (WOT или Web Of Trust), чье суммарное число скачиваний превышает 140 000 000, не только собирали данные о пользователях и их истории браузинга, но и продавали необезличенную информацию третьим сторонам. После публикации собранных журналистами данных, Google и Mozilla удалили аддон со своих порталов.
Журналисты пишут, что им удалось получить доступ к десяти миллионам URL, которые посещали пользователи WOT. Хотя разработчики аддона утверждали, что защищают анонимность своих пользователей, на деле оказалось, что их личности легко установить, так как URL зачастую содержат имена пользователей, email-адреса, ФИО и так далее. Журналисты пишут, что им без труда удалось идентифицировать 50 человек из контрольной выборки, а в истории пользователей удалось обнаружить данные о полицейских расследованиях, узнать сексуальные предпочтения судьи, закрытые финансовые данные коммерческих компаний, обнаружить пользователей, которые искали наркотики, проституток и так далее.
На официальном сайте расширения сказано, что за более чем десять лет существования оно было скачано свыше 140 млн раз. Злая ирония в том, что изначально аддон предназначался для присвоения репутации сайтам, которые посещают его пользователи. К примеру, ресурсы могли получить маркировку «небезопасно для детей», а также пользователи WOT могли пожаловаться на спам или неуважение к приватности данных.
Согласно данным все того же официального сайта WOT, аддон собирал следующие данные о пользователях, конечно же, на условиях полной анонимности:
Журналисты NDR рассказали, что разработчики расширения не сумели сделать собранную информацию обезличенной, но это не помешало им продавать данные заинтересованным лицам. Соглашение действительно предусматривало, что WOT может «делиться» собранной информацией с компанией-учредителем или ее партнерами, однако о продаже там не говорится ничего.
Однако помимо слежки за пользователями у WOT обнаружились и проблемы с безопасностью. Так, после репортажа NDR, независимый исследователь Роб Ву (Rob Wu) провел аудит кода WOT и опубликовал полученные результаты на GitHub. Ву пишет, что теоретически аддон способен выполнить произвольный код на любой странице, в том числе на привилегированных страницах браузера. Исследователь отмечает, что пока разработчики WOT данной функцией не злоупотребляли, но само ее наличие все равно вызывает беспокойство.
Издание The Register цитирует представителей WOT, которые уже прокомментировали происходящее. Разумеется, компания заявила, что относится к безопасности и приватности пользователей очень внимательно и делает всё, чтобы сохранить их анонимность. В компании заявили, что система, отвечавшая за «очистку» (обезличивание) данных, по всей видимости, работала не слишком хорошо, однако утечка информации коснулась «очень малого числа пользователей WOT». Разработчики сообщили, что по собственной инициативе удалили WoT со всех платформ и пообещали исправиться в будущем, представив обновленную версию аддона, где будут учтены все ошибки.
