Популярное расширение для браузеров Web of Trust (WOT), показывавшее, согласно уверениям владельцев проекта, рейтинг безопасности посещаемых сайтов - заблокировано Google и Mozilla после опубликованной информации о продаже владельцами Web of Trust данных своих пользователей.
Да, именно так. Неужели вы ожидали чего-то иного? Мошенники наконец названы своим настоящим именем: мошенники. Что здесь удивительного? Достаточно давно эта затея пахла весьма и весьма невкусно: то и дело в Сети появлялись публикации о шантаже и вымогательствах, допускаемых сотрудниками и модераторами WOT, не брезговавшими прибегать к очевидным накруткам с целью очернения репутации того или иного web-ресурса; не стал исключением и этот сайт, опубликовавший в недавнем прошлом две статьи, по-прежнему доступные по тегу Web of Trust: полюбопытствуйте. И вот, в ноябре 2016 года т.н. Web Of Trust оказался наконец элементарно пойманным на продаже данных своих пользователей неким третьим компаниям. Расследование, проведенное журналистами немецкого телеканала NDR, пролило свет на крайне некрасивые факты, вполне укладывающиеся в уже употребленный мной термин мошенники... согласно информации от Svea Eckert, Jasmin Klofta и Jan Lukas Strozyk, сотрудники NDR сумели получить доступ (у нас в России это называется контрольная закупка) к данным аж трех миллионов посещений сайтов немецкими пользователями: вся эта безусловно приватная (см. Terms of Service WOT на тот период) статистика была собрана посредством плагина Web of Trust, и предлагалась владельцами Web of Trust в качестве бесплатного (!) образца предназначенных к продаже (!!!) данных. По полученным материалам журналисты сумели деанонимизировать около 50 человек, что оказалось совсем несложным делом: данные содержали, в частности, медицинские сведения о заболеваниях, сексуальные предпочтения, информацию о полицейских расследованиях и наркотической зависимости.
На момент публикации материала расширения Web of Trust недоступны в каталогах Mozilla и Google Chrome, приложение Web of Trust удалено из Play Market.
Пользователям настоятельно рекомендуется вручную удалить дополнения Web of Trust из своих браузеров.
Кроме того, анализ кода Web of Trust выявил бэкдор, позволяющий инициировать в системе злонамеренный скрипт, технические подробности доступны далее по ссылкам на источники. Аудит безопасности подписан экспертом по анализу расширений Firefox WebExtensions, называющим себя Rob: "Плагин WOT способен исполнять произвольный код на любой странице, включая внутренние страницы браузера. Критическая опасность. WOT способен выполнить широкий спектр злонамеренных действий - от кражи личных финансовых данных до установки вредоносного ПО на ПК пользователя".
Источники:
Nackt im Netz: Millionen Nutzer ausgespäht
WOT-Addon: Wie ein Browser-Addon seine Nutzer ausspäht
Gist.github.com/Rob--W
