Из браузерного «защитника» Web Of Trust потекли пользовательские персональные данные

Журналисты немецкого телеканала Norddeutscher Rundfunk обнаружили ^[1], что разработчики популярного расширения для браузеров MyWOT (Web Of Trust), чье суммарное число скачиваний превышает 140 млн пользователей, не смогли обеспечить анонимность пользователей при продаже «обезличенной» информации о своих клиентах. Создатели аддона собирали данные об истории посещений своих клиентов и затем продавали эти базы маркетологам, удалив из них данные о конкретных людях.

Журналисты Norddeutscher Rundfunk смогли деанномизировать клиентов MyWO, наложив базу на публично доступные данные, а также используя некоторые ошибки в очистке информации от персональных данных, например сохранившиеся в базе адреса e-mail и ссылки, содержащие имя пользователя. Таким образом удалось в том числе обнаружить пользователей, которые искали порно, наркотики, проституток, причем среди них оказались госслужащие, включая одного судью. При анализе MyWOT пользователями GitHub в его коде также был обнаружен бэкдор, позволяющий загрузить выполняющийся с правами дополнения вредоносный скрипт.

После того, как информация была обнародована, Mozilla Firefox, Google Chrome и Opera удалили ^[2] аддон из своих репозиториев, однако пользователям, которые уже скачали MyWOT, нужно удалять его самостоятельно. О том, что очищенные от персональной информации данные о поведении пользователей интернета могут быть достаточно легко деанонимизированны, ранее предупреждали многие эксперты по безопасности.

Например немецкая журналистка Свея Эккерт и ученый Андреас Дьюс летом этого года рассказывали ^[3] об итогах своего эксперимента по денанонимизации. Они под видом некой маркетинговой компании купили одну из анонимных баз по поведению пользователей, после чего исследователи спарсили данные за тот же месяц с публичных сайтов — Twitter, Facebook, YouTube, Google Maps. Совместив эти две базы, они деанонмизировали значительное число пользователей, также обнаружив на них большое количество компромата.

Еще в 2009 году Netflix пытаясь ^[4] создать систему рекомендаций для своих клиентов отдал обезличенную историю поведения пользователей сторонним разрабочикам, что также привело к деаноннимизации, а одна из подписчиков сервиса подала на Netflix в суд, так как компания по ее мнению разгласила данные об ее сексуальной ориентации.