Neowin
Van egy népszerű böngésző-kiegészítő, amelyet 222 746 Firefox-felhasználó telepít a Mozilla saját statisztikai adatai szerint a letöltésekről. Egy német biztonsági blogger, Mike Kuketz és az uBlock Origin szerzője, Raymond Hill szerint ez a bizonyos kiegészítő a felhasználók tevékenységét kémleli azzal, hogy megérinti a böngésző előzményeit és nyomon követi az általuk felkeresett weboldalakat. Ez a kiegészítő a Mozilla Firefox böngésző Web Security kiterjesztése.
Webes biztonság célja, hogy megvédje a felhasználókat az online adathalászat és rosszindulatú programok támadásaitól, amelyek potenciálisan személyes adatokat lophatnak el. Ez olyan ironikus, mert a kiterjesztés etikátlanul tartja meg a saját információit érintő füleket (szójátékkal), az ön beleegyezése nélkül megkerüli a magánéletét. Ennek oka, hogy ez a hír olyan tömegesen éri el a lelátókat, hogy a kiegészítőt maga a Mozilla tette közzé egy blogbejegyzésben éppen a múlt héten. A kiegészítő fantasztikus véleményekkel büszkélkedhet, és ezért használják olyan sokan olyan széles körben is.
Mozilla's blog bejegyzés gyorsan lebontották, miután Hill felfedezte ezt a hibát a kiegészítőben és felhozta a reddit-en, mondván, hogy a kiterjesztés minden, a böngészőbe betöltött weboldalra felkerül a http://136.243.163.73/ címre. A továbbiakban elmondta, hogy a közzétett adatokat ekkor még nem sikerült megfejteni, és arra ösztönözte a többi biztonsági elemzőt, hogy vizsgálják meg azokat. Tegnap Kuketz ugyanezt a sajátosságot vette észre, és tovább vizsgálta, hogy kiderítse, hogy a felhasználók által meglátogatott URL-eket német szerverre állítják.
Bár egyes alkalmazások URL-adatokat használnak a lehetséges fenyegetések keresésére, egyetlen ilyen keresés sem vonja maga után az adatok továbbítását egy távoli kiszolgáló helyre. A kódot (az alábbiakban) áttekintve kiderült, hogy a kiegészítő naplózása során a felhasználók weboldalainak látogatási szokásai voltak, hanem a felhasználói azonosítókkal való naplózás is, hogy felmérjék általános böngészési szokásaikat. Ez az elemzés és adatgyűjtés felesleges ahhoz a célhoz, amelyet a bővítmény szolgál. Két hasonló kiegészítőt, a Stylish-t és a Web of Trust-t ugyanúgy betiltották az információk gyűjtése miatt, de a Web Security-t még nem tiltották be.
