Uma pesquisa conduzida pela LayerX Security revelou 82 extensões na Chrome Web Store que extraem e vendem dados de navegação de pelo menos 6,5 milhões de usuários.
Várias extensões do navegador Chrome estão coletando informações pessoais de usuários e revendendo para terceiros, tudo de forma legal. Contudo, a maioria das pessoas não se atenta às políticas de privacidade que explicitam essas práticas.
A análise foi feita pela empresa LayerX Security, que encontrou 82 extensões que, em suas políticas, afirmam ter direito de comercializar dados dos usuários, abrangendo, no total, pelo menos 6,5 milhões de pessoas.
O que está sendo coletado
As extensões analisadas vão desde bloqueadores de anúncios até ferramentas para assistir séries, incluindo também assistentes de candidatura e plataformas de inteligência de vendas. O comum entre elas é a coleta sistemática do comportamento do usuário na web.
A coleta de dados é então repassada para empresas de marketing e pesquisa de mercado, e não se restringe a informações genéricas. Algumas extensões conseguem registrar o histórico completo de navegação, o tempo gasto em cada página, preferências de consumo e até inferências sobre saúde, orientação sexual e crenças religiosas, a partir das URLs acessadas.
Um sistema de medição discreto
O caso mais relevante encontrado pelos pesquisadores envolveu uma rede de 24 extensões, focadas em plataformas de streaming, publicadas pela empresa HideApp LLC sob a marca “dogooodapp”. Essas extensões, identificadas como QVI, abrangem quase todos os serviços de streaming, como Netflix, Hulu e Disney+, e das 24, 21 ainda estão disponíveis na Chrome Web Store, acumulando cerca de 800 mil instalações.
Essas ferramentas coletam dados como histórico de visualizações, preferências de conteúdos e informações sobre assinaturas. Quando o usuário não fornece informações demográficas, as extensões utilizam o endereço de e-mail para comparar com bancos de dados externos.
Os dados são então vendidos para criadores de conteúdo, estúdios e empresas de pesquisa, o que criou um sistema invisível de medição de audiência diretamente nos navegadores, onde os usuários não têm consciência de que estão participando.
Bloqueadores de anúncios que fazem o oposto
Outro ponto interessante são oito bloqueadores de anúncios que acabam coletando dados de navegação. Ferramentas criadas para evitar rastreamento estão, na verdade, contribuindo com isso.
O Stands AdBlocker, que conta com 3 milhões de usuários, vende informações de navegação para “análises de mercado”. O Poper Blocker, com 2 milhões de usuários, divulga que também vende identificadores e perfis de comportamento.
Juntas, essas extensões somam mais de 5,5 milhões de usuários.
Legalidade das práticas
A maioria das políticas de privacidade não menciona explicitamente a venda de dados, mas sim afirmam que “podemos vender ou compartilhar suas informações pessoais com terceiros”, transferindo a responsabilidade ao usuário pela leitura e aceitação dos termos.
A LayerX examinou cerca de 9 mil extensões com URLs de políticas de privacidade, conseguindo processar 6.666 delas. Impressionantes 71% das extensões disponíveis na Chrome Web Store não publicam essa política.
Isso significa que mais de 73% dos usuários têm pelo menos uma extensão instalada sem transparência sobre o uso de seus dados.
Riscos para empresas
Além dos riscos para usuários comuns, a pesquisa identificou um perigo específico para empresas. Das 82 extensões analisadas, 29 foram apontadas como ferramentas de inteligência de vendas voltadas para o mercado corporativo.
Essas extensões, quando instaladas nos dispositivos de funcionários, podem rastrear atividade interna, como acessos a sistemas e pesquisas estratégicas. Isso alimenta bases de dados comerciais acessíveis a qualquer comprador.
Métodos de proteção
Para usuários, a melhor precaução é remover extensões que não trazem valor real e se abster de instalações fora dos sites oficiais. As extensões pertencentes à rede QVI podem ser consultadas diretamente na Chrome Web Store pelo nome da iniciativa.
Para empresas, é crucial mapear as extensões instaladas em navegadores corporativos, revisar as políticas de privacidade e implementar um gerenciamento centralizado das extensões. Os navegadores atuais já oferecem funções para tal, como o ExtensionSettings do Chrome e as políticas de grupo do Edge.
Acompanhe o TecMania nas redes sociais. Para mais novidades sobre segurança e tecnologia, inscreva-se na nossa newsletter e canal do YouTube.