DataSpii - kastarofalny wyciek prywatnych danych za pomocą dodatków do przeglądarek
#1
Malo jeszcze chyba znany i nagłośniony przypadek gromadzenia wrażliwych danych z aktywności internetowej, niemniej na tyle poważny w swoich potencjalnych skutkach, że określony został przez autora doniesienia - Sam Jadali - jako katastrofalny. Rzecz o akcji szpiegowania milionów użytkowników sieci opisanej w raporcie pt. "DataSpii: The catastrophic data leak via browser extensions"
https://securitywithsam.com/2019/07/data...xtensions/

Problem jest wielowątkowy i rozwojowy, a dane którymi teraz badacze dysponują wskazują, że ofiarami jest ok. 4,1 mln użytkowników prywatnych i firmowych. Sytuacja może ulec zmianie, kiedy zostanie wykrytych więcej dodatków do przeglądarek, za pomocą których wykradano dane ponadto wpływ mogą mieć opcje synchronizacji w Chrome i Firefox oraz to, że z oficjalnych sklepów tych producentów korzystają także użytkownicy ich klonów. No właśnie - clou sprawy jest w kilku jak dotąd wykrytych dodatkach - lista i krótki opis poniżej - instalowanych na systemach Windows, macOS, Ubuntu i ChromeOS

Cytat:Fairshare Unlock, a Chrome extension for accessing premium content for free. (A Firefox version of the extension, available here, collects the same browsing data.)
SpeakIt!, a text-to-speech extension for Chrome.
Hover Zoom, a Chrome extension for enlarging images.
PanelMeasurement, a Chrome extension for finding market research surveys
Super Zoom, another image extension for both Chrome and Firefox. Google and Mozilla removed Super Zoom from their add-ons stores in February or March, after Jadali reported its data collection behavior. Even after that removal, the extension continued to collect browsing behavior on the researcher’s lab computer weeks later.
SaveFrom.net Helper a Firefox extension that promises to make Internet downloading easier. Jadali observed the data collection only in an extension version downloaded from the developer. He did not observe the behavior in the version that was previously available from Mozilla’s add-ons store.
Branded Surveys, which offers chances to receive cash and other prizes in return for completing online surveys.
Panel Community Surveys, another app that offers rewards for answering online surveys.

Dane pobierane przez te dodatki były wysyłane na serwery firmy Nacho Analytics, a ta dalej dystrybuowała je już bez żadnej kontroli śledzonych użytkowników. Z informacji w sieci wiadomo, że pobierane dane są bardzo wrażliwe, co widać w cytacie poniżej

Cytat:
  • Home and business surveillance videos hosted on Nest and other security services
  • Tax returns, billing invoices, business documents, and presentation slides posted to, or hosted on, Microsoft OneDrive, Intuit.com, and other online services
  • Vehicle identification numbers of recently bought automobiles, along with the names and addresses of the buyers
  • Patient names, the doctors they visited, and other details listed by DrChrono, a patient care cloud platform that contracts with medical services
  • Travel itineraries hosted on Priceline, Booking.com, and airline websites
  • Facebook Messenger attachments and Facebook photos, even when the photos were set to be private.
Szczegółowy wykaz w źródłowym raporcie. Pikanterii sprawie dodaje fakt, że próbki analizowanych adresów wskazują na bardzo znane firmy, których pracownicy również byli śledzeni.


Cytat:[*]Internal URLs for pharmaceutical companies Amgen, Merck, Pfizer, and Roche; health providers AthenaHealth and Epic Systems; and security companies FireEye, Symantec, Palo Alto Networks, and Trend Micro. Like the internal URLs for Tesla, these links routinely revealed internal development or product details. A page title captured from an Apple subdomain read: "Issue where [REDACTED] and [REDACTED] field are getting updated in response of story and collection update APIs by [REDACTED]"
[*]URLs for JIRA, a project management service provided by Atlassian, that showed Blue Origin, Jeff Bezos’ aerospace manufacturer and sub-orbital spaceflight services company, discussing a competitor and the failure of speed sensors, calibration equipment, and manifolds. Other JIRA customers exposed included security company FireEye, BuzzFeed, NBCdigital, AlienVault, CardinalHealth, TMobile, Reddit, and UnderArmour.
[*]
W kontekście jakości danych, które Nacho Analytics zbierało, można zaryzykować stwierdzenia, że biznesy tych firm mogą zostać naruszone w stopniu jeszcze nieogarniętym. Ars Technica wysłało zapytanie m.in do Apple, Symantec, FireEye, Palo Alto Networks, Trend Micro, Tesla i Blue Origin. Tylko Symantec, Trend Micro i Palo Alto Networks odpowiedziały dziekując za informacje bądź informując o usunięciu dodatków ze swoich urządzeń.

Poniżej linki do raportu
https://securitywithsam.com/2019/07/data...xtensions/
oraz artykułów źródłowych z dodatkowymi analizami i komentarzami
https://securitywithsam.com/
https://arstechnica.com/information-tech...4m-people/
https://arstechnica.com/information-tech...deep-dive/
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości