תוספים לדפדפנים יכולים אמנם לשדרג משמעותית את הגלישה ברשת – אך הם עלולים גם לשתף את המידע על הגלישה עם גורמי צד שלישי. בסוף השבוע חשף אתר Arstechnica כי 8 תוספים ל-Chrome של גוגל (Google) ול-Firefox של מוזילה (Mozilla) העבירו את היסטוריית הגלישה המלאה של מיליוני גולשים לחברה שפרסמה אותו בשירות שלה.
מי שגילה את הפרשה הוא סאם ג’דאלי, סמנכ”ל המידע בבורסת הקריפטו Mandala ומייסד שירות אחסון האתרים Host Duplex. בשנה שעברה פנה אליו לקוח שמצא מידע פנימי מהאתר שלו בשירות בשם Nacho Analytics, וביקש לדעת אי הגיע לשם. אחרי חודשים של חקירה וכ-30,000 דולר הוצאות, חשף ג’דאלי את מה שהוא קורה לו DataSpii – דליפת מידע כמעט חסרת תקדים, שהשפיעה לכל הפחות על יותר מ-4 מיליון משתמשים ועשרות חברות ברחבי העולם.
גנבו היסטוריית גלישה
התוספים שנמצאו אשמים בדליפה נהגו לשלוח את היסטוריית הגלישה של המשתמשים – חלקם פעם בכמה ימים וחלקם על בסיס שעתי, מה שאיפשר מעקב כמעט בזמן אמת – לחברת Nacho Analytics, שמבטיחה ללקוחותיה את האפשרות לראות סטטיסטיקות לגבי כל אתר ברשת. לקוחות החברה יכלו לראות את תיעוד הגלישה של משתמשי התוספים, ובחלק מהמקרים אף את רשימת הקישורים בכל דף בו גלשו.
כתובות העמודים חשפו פעמים רבות פרטים אישיים, כמו למשל שמות אנשים שהזמינו כרטיסי טיסה או כתובות מייל שמשתמשיהם הזמינו מוצרים או ביקשו לשחזר את הסיסמה שלהם. במקביל, רשימת הקישורים בכל דף איפשרה ללקוחות Nacho לראות את רשימת הדפים הפנימיים באתרי חברות שלא אמורים להיות נגישים מחוץ לארגון.
הדוגמאות למידע שדלף מבהירות עד כמה חמור העניין: מאפל (Apple) דלפו 4 ספרות אחרונות של כרטיסי אשראי מלקוחות שהזמינו מוצרים, שמם, כתובת האייקלאוד שלהם והחנות ממנה בחרו לקחת את הסחורה (כך שמי שנחשף למידע יכול היה להגיע ולקחת את המוצרים במקומם), כמו גם תמונות ששותפו מאייקלאוד; מפייסבוק דלפו תמונות וקבצים שנשלחו דרך מסנג’ר; ממיקרוסופט דלפו קבצים ששותפו ב-OneDrive; מחברות התעופה האמריקאיות אמריקן, סאות’ווסט ויונייטד דלפו שמות מזמיני טיסות ומספרי אישורי הטיסות שלהם; מאובר (Uber) דלפו מיקומי איסוף והורדת נוסעים שהזמינו דרך האתר; ועוד.
ג’דאלי מדגיש כי אף לאחר שגילה את הדליפה והתוספים הוסרו מהחנויות של גוגל ומוזילה, הם המשיכו לאסוף מידע ממשתמשים שכבר התקינו אותם. רק לאחר שהחברות ביצעו כיבוי מרחוק לכל מי שהתקין את התוספים פסק איסוף המידע. ב-Arstechnica מציינים כי שניים מהתוספים דווחו כבר פעמיים בעבר. גוגל לא הסבירה מדוע הרשתה להם לחזור לחנות שלה.
Nacho Analytics, מצידה, מתנערת מאחריות. באתר שלה פורסמה הודעה לפיה “אדם יחיד ניצל את הכלי שלנו כדי לחפש פרצות באתרים פחות מאובטחים. אף אחד מלקוחות Nacho Analytics הלגיטימיים לא קיבל גישה לאתרים הללו או למידע אודותיהם. זו לא היתה פרצה”, מודגש בהודעה. “לא התגלה מידע אישי ולא התבצעה גישה למידע על לקוחות. ובכל זאת, ליתר ביטחון, אנו עוצרים את הגישה לכל מידע בעל פוטנציאל רגיש”. החברה הוסיפה כי עצרה את הרישום לשירות ללקוחות חדשים, במה שמהווה הודאה כי כל לקוח חדש – בין אם הוא בוחר לשלם 49 דולר לחודש ומעלה על השירות המלא או מנצל את תקופת הניסוי החינמית.
התמונה באדיבות Shutterstock