Extensões do Chrome e Firefox vazaram sites visitados por milhões de internautas

Endereços revelaram informações particulares e eram disponibilizados por empresa de marketing.

O especialista em segurança Sam Jadali veio a público com uma pesquisa demonstrando como uma série de práticas em sistemas corporativos, serviços on-line, extensões de navegadores e compartilhamento de dados que resultaram no vazamento de informações privadas, incluindo fotos, reuniões e documentos financeiros armazenados em endereços web particulares.

Esses endereços foram coletados por extensões disponíveis para os navegadores Google e Firefox e instaladas por mais de quatro milhões de internautas.

Jadali deu ao caso o nome de “DataSpii”, misturando as palavras “data” (dados), spy (espião) e PII, sigla em inglês para “informação pessoalmente identificável”.

O especialista identificou extensões disponibilizadas para os navegadores Chrome e Firefox que coletam todos os endereços web acessados pelo usuário e descobriu que dados eram enviados a um servidor de controle para serem repassados à Nacho Analytics, um serviço de marketing. Essa empresa permitia que qualquer pessoa assinasse um serviço de “monitoramento de domínio” para ver, praticamente em tempo real, o que as pessoas estavam acessando no site monitorado.

Por exemplo, é possível assinar o serviço para monitorar o endereço “1drv.ms” e visualizar todos os links compartilhados do OneDrive da Microsoft que foram acessados pelos usuários que instalaram essas extensões. O link em si dá acesso ao documento compartilhado.

Redes sociais, como o Facebook, também permitem que fotos sejam acessadas sem a realização do login caso alguém tenha o link direto para o arquivo da imagem, abrindo outra brecha para expor informações a partir dos links vazados.

Mas não são apenas documentos e arquivos em serviços de armazenamento em nuvem que podem ficar expostos. Sistemas internos de empresas, mesmo que não sejam acessíveis pela internet, também podem expor informações. Se um funcionário realiza uma pesquisa em um sistema interno, essas informações podem ser registradas pela extensão. As informações podem fazer referência a projetos comerciais, nomes de clientes ou outras questões sigilosas da empresa, mesmo que o conteúdo em si não seja acessível pela internet.

Jadali descobriu que funcionários de empresas de segurança e montadoras de veículos tinham instalado alguma das extensões e por isso estavam vazando dados internos. Ele também identificou reuniões cadastradas no serviço de conferências on-line Zoom solicitando o monitoramento do endereço “zoom.us” e balanços financeiros por meio do monitoramento da Intuit, criadora de um software de contabilidade.

Dados de passageiros ou de viagens também estavam presentes em endereços de sites de companhias aéreas e de transporte, enquanto dados médicos ficavam em endereços de serviços de saúde.

Jadali teve que assinar o serviço para cada endereço junto à Nacho Analytics, então não é possível saber o nome de todas as companhias e empresas que tiveram informações vazadas. O especialista alerta que a companhia oferecia um serviço grátis para fins de “teste”, o que também pode ser aproveitado por criminosos.

A Nacho Analytics alegou que seu serviço é totalmente lícito e que todos os dados pertencem a usuários que autorizaram a coleta. De fato, as políticas das extensões autorizavam a coleta dos endereços visitados na web.

A Nacho Analytics também informou que removia informações sensíveis antes de disponibilizar os links para consulta no serviço e que os links eram disponibilizados de forma anônima, ou seja, sem ligação específica com o usuário. Isso significa que não havia meio de ver todos os sites acessados por uma só pessoa, por exemplo, ainda que todos os links acessados por essa pessoa estivessem abertos na ferramenta.

Após a denúncia de Jadali, as extensões foram todas removidas da Chrome Web Store e do repositório oficial de extensões do Firefox. No Twitter, a Nacho Analytics informou que não está comercializando novas assinaturas do serviço porque seu parceiro de dados interrompeu suas operações.

Dados em links

Não é recomendado que dados sigilosos sejam incluídos no endereço de páginas web. A prática mais segura é exigir uma senha ou código durante o acesso. Isso impediria o vazamento de dados sensíveis pelo endereço das páginas.

Em muitos casos, no entanto, não é conveniente exigir senhas ou autenticação. Por isso, esses endereços devem ser usados apenas de modo particular. Quando o endereço é vazado por uma extensão ou outro componente, a única medida de segurança – o sigilo do endereço – é violada e os dados ficam expostos.

Extensões que vazaram sites visitados

1. Hover Zoom (Chrome): 800 mil usuários
2. SpeakIt (Chrome): 1,4 milhão de usuários
3. SuperZoom (Chrome/Firefox): 329 mil usuários
4. SaveFrom.net Helper (Firefox): 140 mil usuários
5. FairShare Unlock (Chrome/Firefox): 1 milhão de usuários
6. PanelMeasurement (Chrome): 500 mil usuários
7. Branded Surveys (Chrome): 8 usuários
8. Panel Community Surveys (Chrome): 1 usuário

Como as extensões foram banidas dos repositórios oficiais, o navegador já deve informar que o funcionamento da extensão foi suspenso. Elas não devem ser reativadas e recomenda-se que sejam desinstaladas definitivamente.

A lista de extensões pode ser acessada pelos endereços chrome://extensions (Chrome) ou about:addons (Firefox).

Quem tinha alguma das extensões instaladas também deve modificar endereços de links compartilhados e trocar as senhas também pode ajudar. Programadores devem cadastrar novas chaves de “API”, pois elas podem ter sido vazadas