Как стать автором
Обновить

Сервисы Web of Trust оказались скомпрометированы

Время на прочтение3 мин
Количество просмотров26K
В результате расследования журналистов немецкой общественной телерадиовещательной компании NDR выяснилось, что сервис Web of Trust продавал собранные данные о своих пользователях сторонним лицам. Что такое Web of Trust? Сталкиваясь с не известным вам сайтом, вы рискуете лишиться своих личных данных, финансов либо можете случайно стать жертвой распространяемого с такого сайта вредоносного программного обеспечения. Чтобы предотвратить такую ситуацию, можно воспользоваться каким-либо существующим рейтингом сайтов, который еще до перехода к неизвестной странице сообщит вам, можно ли ей доверять.

Рейтинги Web of Trust (буквально — «сеть доверия») строятся на основании мнений множества пользователей о конкретном ресурсе (утрируя, можно объяснить следующим образом: красный рейтинг сообщает, что ресурс крайне опасен, зеленый — что ресурс полезен, желтый рейтинг — с ресурсом что-то не то, малопопулярные или новые сайты обозначаются прозрачным значком).

Простейший пример использования: вашим престарелым родителям достаточно объяснить, что заходить можно только на сайты с зеленым рейтингом, и проблем с их компьютером на вашу голову будет падать намного меньше.

Что же случилось с Web of Trust? Согласно информации от Svea Eckert, Jasmin Klofta и Jan Lukas Strozyk, журналисты через подставную компанию, якобы специализирующуюся на обработке Big Data, смогли получить доступ к данным трех миллионов посещений сайтов немецкими пользователями. Как выяснилось, данные были собраны с помощью Web of Trust. Информация была предоставлена подставной компании в качестве бесплатного пробного образца — на самом деле, данных доступно гораздо больше. По полученным материалам журналисты смогли деанонимизировать около 50 человек (в качестве раскрытых данных упоминаются заболевания, сексуальные предпочтения, информация о полицейских расследованиях и употреблении наркотиков).

Информация о продаже данных Web of Trust была опубликована на немецкоязычных ресурсах еще 1 ноября, но ответ пресс-секретаря Web of Trust появился лишь 3 ноября: компания Web of Trust пообещала принять меры для защиты своих пользователей, если случаи передачи неанонимной информации имели место быть. При этом пресс-секретарь акцентировал внимание на том, что передача анонимной информации о пользователе Web of Trust третьим лицам упомянута в пользовательском соглашении:

«The information we collect is aggregated, non-personal non-identifiable information which may be made available or gathered via the users’ use of the WOT Utilities («Non-Personal Information»). We are not aware of the identity of the user from which the Non-Personal Information is collected. We may disclose or share this information with third parties as specified below and solely if applicable».

Ради интереса обратимся к официальной русскоязычной версии соглашения (хотя она явно сокращена): «WOT Services может сохранять обезличенные статистические сведения (не содержащие никакой персональной информации)», никаких упоминаний про возможность передачи этой информации третьим лицам нету.

Скриншот


В заключение можете почитать статью на немецком о том, что именно передает на свои сервера плагин Web of Trust. Ее автор не рекомендует пользоваться еще и Adblock Plus с Ghostery (обвинения в адрес Ghostery нередки) и говорит, что многие расширения из каталога Google Chrome могут собирать о вас информацию.

Что же в результате? На данный момент расширения Web of Trust недоступны в каталогах Mozilla и Google Chrome, а приложение Web of Trust удалено из Play Market. Пользователям рекомендовано вручную удалить дополнения Web of Trust из своих браузеров.

Update: при анализе дополнения в его коде был обнаружен бэкдор, позволяющий загрузить выполняющийся с правами дополнения вредоносный скрипт.

P.S. Я пользовался Web of Trust последние семь лет (в процессе написания этой статьи в голове даже мелькнула мысль выставить их сайту отрицательный рейтинг и написать соответствующий комментарий).

В качестве альтернативы можно использовать аналогичные сервисы от производителей антивирусного ПО, к примеру, McAfee, Norton или Avast (сам пока не пользовался, рекомендовать ничего не могу). В комментариях можете поделиться своим опытом использования расширений с рейтингом веб-сайтов.
Теги:
Хабы:
Всего голосов 23: ↑22 и ↓1+21
Комментарии51

Публикации

Истории

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань