קרדיט: Dataspii.com
דליפת נתונים מסיבית התגלתה לאחרונה על ידי חוקר אבטחת סייברסם אכל, חושף מידע פרטי עבור 45 חברות גדולות ומיליוני אנשים. כונתה "DataSpii" על ידי ג'דאלי וצוותו, ההדלפה בוצעה על ידי הרחבות דפדפן כרום ופיירפוקס תמימות למראה שאספו והפיצו נתוני גלישה של משתמשים - כתובות אתרים שחשפו מידע פרטי על משתמשים ורשימה ארוכה של חברות, כולל אפל, וולמארט , Amazon, 23AndMe, SpaceX, Skype ועוד רבים אחרים. (ההרשימה המלאה כלולה בדו"ח של ג'דאלי.)
שמונה ההרחבות ששימשו לביצוע הדליפה הן:
סקרים ממותגים(כרום)
ביטול נעילה של FairShare(כרום ופיירפוקס)
HoverZoom(כרום)
סקרי קהילה של פאנל(כרום)
מדידת לוח(כרום
SaveFrom.net עוזר(Firefox)
דבר את זה!(כרום)
SuperZoom(כרום ופיירפוקס)
Jadali דיווחה על פעילות המעקב לכרום ול-Mozilla, שהגיבו על ידי השבתת התוספות מרחוק והסרתן מהשוק שלהן. עם זאת, ג'דאלי המשיך לעקוב אחר הפעילות של תוספי הדפדפן שהושבתו כעת, רק כדי לגלות שהם עדיין עוקבים אחר נתוני משתמשים למרות שהפונקציונליות העיקרית שלהם הושבתה.
במילים אחרות,הסר את ההתקנה של כל אחת מההרחבות המפורטות למעלהאם אתה משתמש באחד מהם. בעוד שלחלק מההרחבות הללו היו פחות מ-10 משתמשים, לפחות לשניים היו יותר ממיליון, ולשאר היו עשרות עד מאות אלפי משתמשים.
כל אחת מההרחבות הללו עקבה אחר נתונים בצורה שונה והשתמשה בטקטיקות ערמומיות - כמו המתנה עד 24 ימים לאחר ההתקנה כדי להתחיל במעקב - כדי לטשטש את תהליך איסוף הנתונים. לאחר מכן, הנתונים שנאספו נמכרו לכל הקונים המעוניינים בכך, תוך שהם מסיימים תהליך שג'דאלי משרטט בתרשים שלודוח מלא:
קרדיט: Dataspii.com
ג'דאלי התריע גם על חברות שגם המידע שלהן נחשף, והן הצליחו לאשש את הממצאים של ג'דאלי. נתונים שדלפו כללו מידע תאגידי רגיש ונתוני משתמשים מתפשרים כמו שמות עובדים, כתובות, פרטי כרטיסי אשראי, סיסמאות ומספרי PIN, קבצי ענן מאוחסנים ועוד הרבה יותר - אפילו החזרי מס, מידע גנטי והיסטוריה רפואית במקרים מסוימים.
בדוגמה אחת, הנה רשימה של תמונות iCloud הזמינות לציבור שהועברו לארכיון על ידי ההרחבות הזדוניות, כולן ניתנות לחיפוש בקלות באמצעות Google Analytics:
קרדיט: דיוויד מרפי - אבטחה עם סם
שקול את האפשרות הגרעינית להגן על עצמך מפני הרחבות רעות
בעוד שהמשתמשים המושפעים קיבלו התראה, זה תמיד חכם לעשות זאתסקור את פעילות החשבון שלך ו/או שנה מידעכאשר מתרחשת דליפה כזו - גם אם הנתונים שלך לא נפגעו ספציפית.
בהמשך, יש עצה אחת שאנחנו ממליצים עליהן מעל לכל: הגבל את מספר ההרחבות שבהן אתה משתמש בדפדפן שלך. זה שלמרות שתוסף מופיע בשוק רשמי לא אומר בהכרח שהוא בטוח.
אמנם יש הרבה הרחבות מדהימות ושימושיות לדפדפן של צד שלישי, אבל יש גם המון שמחפשים לנצל אותך. אנחנו לא אומרים שימושאֶפֶסהרחבות, שזה יהיה התרגול הבטוח ביותר, אבל שים לב לאלה שאתהלַעֲשׂוֹתלהתקין בדפדפן שלך. אולי אתה לא צריך 30 הרחבות כדי לבצע את רוב העבודה שלך, ומערכת barebones של חמש - מחברות רשמיות שאתה מזהה - תוכל להעביר אותך את היום.
עודכן ב-23 ביולי 2019:איות מתוקן של שמו של סם ג'דאלי.
ברנדן הסה
ברנדן הוא כותב עצמאי ויוצר תוכן מפורטלנד, OR. הוא מכסה טכנולוגיה וגיימינג עבור Lifehacker, וכתב גם עבור Digital Trends, EGM, Business Insider, IGN ועוד.