Comments 19
Это, конечно, жесть... я даже не задумывался, что любое расширение по умолчанию имеет доступ вообще ко всему контенту и коммуникациям в браузере.
А к паролям, интересно, имеет доступ?
Чёрт с ними, с дырявыми расширениями, о них известно сто лет в обед ("резонансное расследование", мдэ), по мне самый треш в посте это:
я исследователь в области безопасности
c моим ИИ-ассистентом у меня сложился уровень откровенности, которого нет с большинством людей в моей жизни
сколько всего рассказал: не только об этом решении, но и о месяцах переписок — личные дилеммы, вопросы о здоровье, финансовые детали, рабочие разочарования, вещи, о которых я не говорил никому
И ладно бы его "ИИ-ассистент" крутился локально, но доверять-писать всё и даже больше в чатик некоему онлайн-боту... это даже не сапожник без сапог, это сапожник, который сознательно уверенно топчется босиком по самые колени на городской свалке.
И тут возникла тревожная мысль: а что, если кто-то всё это читает?
Какой интересный технический директор у этой кибербезопасничной конторы. :)
Результат аудита - статья на Хабре? Писать в гугл, на реддит не будете?
Оно там исчо вчера появилось https://thehackernews.com/2025/12/featured-chrome-browser-extension.html
это перевод
Очень вялая попытка отвратить людей от использования VPN. Вы и правда читателей хабра за идиотов принимаете?
Плевать мне на вашу приватность в таком смысле. Если кому надо, то для этого есть средства понадёжнее, видимо незнакомые этому "безопаснику", болтающему с ИИ о своих интимных тайнах. Мне обычные ВПН нужны только для чтения профессиональных статей и просмотра абсолютно законной информации (без какой-либо политики), доступ к которой закрыт нашими и/или западными Держимордами. Таким образом, я вынуждено использую обычные бесплатные VPN в том числе для обхода европейских санкций, ограничивающих доступ к профессиональной информации. На личные темы предпочитаю общаться с девушками, а не с ИИ. Это прикольнее. А вот нарушение приватности нашим Скамом Максом меня беспокоит гораздо больше, так как оно глубже и шире.
Я еще нашел пару настроек..
Я в шоке.
sendMessagestoFBI=true;
sendMessagestoFSB=true;
sendMessagestoKGB=true;
sendMessagestoKreml=true;
sendMessagestoWH=true;
sendMessagestoCuba=true;
отправляются на серверы Urban VPN, включая эндпоинты
analytics.urban-vpn.comиstats.urban-vpn.com
Ну то есть добавим их в блок лист и можно спать спокойно?
Можно просто не пользоваться всяким мусором и спать спокойно. HTTPS даёт вполне достаточно гарантий приватности. Да и скандалы о сливах данных мобильными и домашними операторами случаются гораздо реже, чем скандалы про очередного VPN провайдера. То есть VPN в данном случае попытка починить то что не было сломано.
Сколько раз надо было повторить про featured от гугл ? Три раза в тексте встречается, не держите читателей за идиотов
Я уже давно заметил особенность, что если в России основная ЦА VPN - обход блокировок, то на Западе - параноики с деньгами (и продать им пытаются мифическую приватность).
Обычному человеку за глаза защиты, которую обеспечивает банальный HTTPS. Настоящий ТРУ параноик поднимет свой VPN. Кому профессионально по долгу службы положено будет использовать VPN поднятый сисадмином работодателя (а если это будет 3rd party решение, то с каким-нибудь enterprise тарифным планом и юридическими гарантиями).
И кто остаётся в ЦА бесконечных "бесплатный/дешёвый VPN"?)) Не удивительно, что их данные сливают.
Я правильно понял, что расширение перехватывало все промпты ещё до подключения к сайту? И также ответы проходили вначале через это расширение. Как буферная зона.
То есть расширение как троян работало, обходя HTTPS шифрование сайтов?
И ещё вопрос. Это возможно только на компьютере, на android телефоне, например, таким образом через VPN данные не украдут?
Расширение теперь недоступно, интересно из-за чего же)
Как «приватные» VPN-расширения слили переписки 8 миллионов пользователей с ChatGPT и Claude