Hlavní navigace

Web of Trust prodával špatně anonymizovaná data uživatelů

Petr Krčmář 9. 11. 2016

Německá televize NDR odhalila, že rozšíření Web Of Trust (WoT) prodávalo historii prohlížení svých uživatelů. Navíc data nebyla dobře anonymizována a uživatele je možné pomocí nich identifikovat.

Německá televize NDR (Norddeutscher Rundfunk) odhalila vážné narušení soukromí (německý originál) ze strany doplňku služby Web Of Trust (WoT). Ten má přitom přesně opačný úkol: chránit uživatelovo soukromí tím, že ho varuje před nebezpečnými stránkami. Služba ale prodávala data uživatelů, konkrétně historii jejich prohlížení.

WoT existuje od roku 2007 a v současné době má 140 milionu uživatelů. Ti mohou hodnotit navštívené weby a tím si pomáhat navzájem. Jednotlivé stránky pak dostávají známku podle důvěryhodnosti nebo třeba vhodnosti obsahu pro děti. Informace jsou sbírány a zobrazovány pomocí rozšíření, které existuje pro Chrome i Firefox.

Jak bylo ale nyní zjištěno, rozšíření také získávalo data o historii prohlížení uživatelů a posílalo je domů. Databázi navštívených stránek pak WoT prodával třetím stranám, aby vydělal na svůj provoz. Problém je v tom, že data nebyla dostatečně anonymizována a je možné podle nich identifikovat některé uživatele.

Pravidla soukromí služby WoT jasně deklarují, že o uživateli jsou sbírána následující data: IP adresa, geolokační informace, typ zařízení, operační systém, prohlížeč, datum a čas, webové adresy a informace o používání prohlížeče. Služba ale také deklaruje, že tyto informace jsou sbírány v neidentifikovatelné podobě.

Reportéři z NDR ovšem ze vzorku 50 uživatelů a jejich takto „anonymizovaných“ dat dokázali zjistit celou řadu podrobností:

  • Uživatelské jméno
  • E-mailové adresy
  • Nákupní návyky
  • Cestovní plány
  • Možné choroby
  • Sexuální preference
  • Užívání drog
  • Důvěrné firemní informace
  • Probíhající policejní vyšetřování
  • Historii prohlížeče včetně všech navštívených webů

Mozilla už WoT odstranila ze své databáze rozšíření a nenajdete ho už ani v Obchodě Chrome. Pokud jej ale máte nainstalované ve svém prohlížeči, musíte ho odinstalovat ručně, aby bylo rozšíření neaktivní a neposílalo ven vaše data.

WoT vydal k případu prohlášení, ve kterém tvrdí: Bereme závazky vůči uživatelům velmi vážně. Vložili jsme hodně úsilí do odstranění dat, která by mohla vést k identifikaci konkrétních uživatelů. Zdá se ale, že v některých případech je identifikace stále možná, i když může jít jen o malou část uživatelů WoT.

Společnost také říká, že má v plánu přezkoumat svou bezpečnostní politiku a zavést změny, které zajistí uživatelovo právo na soukromí. Do rozšíření prý přibude také volba, která umožní uživateli zakázat posílání dat o prohlížení do databáze. Bohužel má jít o volbu typu opt-out, bude tedy potřeba aktivně tuto funkci zakázat. Služba také slibuje kompletní revizi anonymizačního systému, aby byli napříště chráněni i uživatelé, kteří odesílání svých dat nechají povolené.

Zdá se, že problém může být ještě větší, protože podle analýzy zdrojového kódu, která byla zveřejněna na GitHubu je možné skrz rozšíření spouštět na navštívených webech cizí kód. Z výsledků plyne, že kdyby WoT chtěl, mohl by na stránkách provádět prakticky cokoliv, krást přístupové údaje, měnit obsah webů nebo přes ně instalovat malware. Analýza tvrdí, že zatím tato funkce nebyla zneužívána.

Prozatím rozhodně doporučujeme doplněk z prohlížeče co nejdříve odinstalovat. Existuje také aplikace pro mobilní operační systémy, která se bude pravděpodobně chovat stejně.

Našli jste v článku chybu?

9. 11. 2016 9:48

jirka (neregistrovaný)

Záverečná pasáž článku o tom, že ono rozšíření prohlížeče "dokonce" může spouštět na navštívených webech cizí kód a vlastně tedy provádět s danou stránkou cokoliv, je snad na stránkách roota trošku trapné zjištění, ne? Tiše jsem předpokládal, že pro zdejší čtenáře je zřejmé, že kdokoli, kdo je schopen do stránky dostat svůj script (javascript), je schopen s danou stránkou dělat naprosto cokoliv - a rozhodně to nemusí být formou pluginu prohlížeče - typicky dobrovolně vkládané scripty G, FB, ...<…

9. 11. 2016 19:01

jirka (neregistrovaný)

Uživatel nebude studovat zdrojový kód stránky, aby zjistil, že/jestli jsou tam scripty od G, FB, TW a nejrůznějších dalších služeb. Jsem přesvědčený, že žádný provozovatel stránek, který si do nich nacpe kódy zmíněných služeb neví, co všechno ty scripty dělají - jen spoléhá na to, že "tak známé značky" nebudou riskovat pověst a "dělat něco nekalého". Takže běžný uživatel nikdy neví, kdo všechno sleduje, co na webu podniká. A čí je to "zodpovědnost" je v reálu už nejspíš jedno - právě proto, že s…

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí