Hlavní navigace

Web of Trust prodával špatně anonymizovaná data uživatelů

Petr Krčmář

Německá televize NDR odhalila, že rozšíření Web Of Trust (WoT) prodávalo historii prohlížení svých uživatelů. Navíc data nebyla dobře anonymizována a uživatele je možné pomocí nich identifikovat.

Německá televize NDR (Norddeutscher Rundfunk) odhalila vážné narušení soukromí (německý originál) ze strany doplňku služby Web Of Trust (WoT). Ten má přitom přesně opačný úkol: chránit uživatelovo soukromí tím, že ho varuje před nebezpečnými stránkami. Služba ale prodávala data uživatelů, konkrétně historii jejich prohlížení.

WoT existuje od roku 2007 a v současné době má 140 milionu uživatelů. Ti mohou hodnotit navštívené weby a tím si pomáhat navzájem. Jednotlivé stránky pak dostávají známku podle důvěryhodnosti nebo třeba vhodnosti obsahu pro děti. Informace jsou sbírány a zobrazovány pomocí rozšíření, které existuje pro Chrome i Firefox.

Jak bylo ale nyní zjištěno, rozšíření také získávalo data o historii prohlížení uživatelů a posílalo je domů. Databázi navštívených stránek pak WoT prodával třetím stranám, aby vydělal na svůj provoz. Problém je v tom, že data nebyla dostatečně anonymizována a je možné podle nich identifikovat některé uživatele.

Pravidla soukromí služby WoT jasně deklarují, že o uživateli jsou sbírána následující data: IP adresa, geolokační informace, typ zařízení, operační systém, prohlížeč, datum a čas, webové adresy a informace o používání prohlížeče. Služba ale také deklaruje, že tyto informace jsou sbírány v neidentifikovatelné podobě.

Reportéři z NDR ovšem ze vzorku 50 uživatelů a jejich takto „anonymizovaných“ dat dokázali zjistit celou řadu podrobností:

  • Uživatelské jméno
  • E-mailové adresy
  • Nákupní návyky
  • Cestovní plány
  • Možné choroby
  • Sexuální preference
  • Užívání drog
  • Důvěrné firemní informace
  • Probíhající policejní vyšetřování
  • Historii prohlížeče včetně všech navštívených webů

Mozilla už WoT odstranila ze své databáze rozšíření a nenajdete ho už ani v Obchodě Chrome. Pokud jej ale máte nainstalované ve svém prohlížeči, musíte ho odinstalovat ručně, aby bylo rozšíření neaktivní a neposílalo ven vaše data.

WoT vydal k případu prohlášení, ve kterém tvrdí: Bereme závazky vůči uživatelům velmi vážně. Vložili jsme hodně úsilí do odstranění dat, která by mohla vést k identifikaci konkrétních uživatelů. Zdá se ale, že v některých případech je identifikace stále možná, i když může jít jen o malou část uživatelů WoT.

Společnost také říká, že má v plánu přezkoumat svou bezpečnostní politiku a zavést změny, které zajistí uživatelovo právo na soukromí. Do rozšíření prý přibude také volba, která umožní uživateli zakázat posílání dat o prohlížení do databáze. Bohužel má jít o volbu typu opt-out, bude tedy potřeba aktivně tuto funkci zakázat. Služba také slibuje kompletní revizi anonymizačního systému, aby byli napříště chráněni i uživatelé, kteří odesílání svých dat nechají povolené.

Zdá se, že problém může být ještě větší, protože podle analýzy zdrojového kódu, která byla zveřejněna na GitHubu je možné skrz rozšíření spouštět na navštívených webech cizí kód. Z výsledků plyne, že kdyby WoT chtěl, mohl by na stránkách provádět prakticky cokoliv, krást přístupové údaje, měnit obsah webů nebo přes ně instalovat malware. Analýza tvrdí, že zatím tato funkce nebyla zneužívána.

Prozatím rozhodně doporučujeme doplněk z prohlížeče co nejdříve odinstalovat. Existuje také aplikace pro mobilní operační systémy, která se bude pravděpodobně chovat stejně.

Našli jste v článku chybu?