DataSpii
DataSpii — утечка данных, напрямую затронувшая личную информацию до 4 миллионов пользователей браузеров Chrome и Firefox через минимум восемь расширений для браузеров[1][2][3]. К числу этих расширений относились Hover Zoom, SpeakIt!, SuperZoom, SaveFrom.net Helper, FairShare Unlock, PanelMeasurement, Branded Surveys и Panel Community Surveys[4]. В результате утечки стала доступна лично идентифицируемая информация (PII), корпоративная информация (CI) и государственная информация (GI). DataSpii затронула такие организации, как Пентагон, Walmart, AT&T, Zoom, Bank of America, Sony, Kaiser Permanente, Apple Inc., Microsoft, Amazon (компания), Symantec, FireEye, Trend Micro, Boeing, Tesla, Inc., SpaceX, Pfizer, Palo Alto Networks и др.[5] Крайне чувствительная информация (например, топология частных сетей), относящаяся к этим компаниям и учреждениям, перехватывалась и передавалась компаниям, находящимся в иностранной юрисдикции[6].
Утёкшие данные становились доступны через Nacho Analytics (NA), маркетинговую аналитическую компанию, описывавшую себя как «god mode for the internet» («режим бога для интернета»)[7]. Как платные, так и бесплатные участники NA получали доступ к этим утёкшим данным. После регистрации в сервисе NA пользователи получали возможность просматривать данные через аккаунт Google Analytics.
В рамках DataSpii в открытом виде распространялась информация, связанная с медицинскими записями, налоговыми декларациями, GPS-координатами, маршрутами поездок, генеалогическими данными, именами пользователей, паролями, банковскими картами, генетическими профилями, внутренними отчётами компаний, заданиями сотрудников, ключами API, служебным программным кодом, параметрами локальных сетей, кодами доступа к межсетевым экранам, корпоративными секретами, рабочими материалами и уязвимостями типа «нулевой день»[5].
DataSpii была обнаружена и описана специалистом по кибербезопасности Сэмом Джадали. Запрашивая данные по одному домену в NA, он мог в реальном времени видеть задачи сотрудников тысяч компаний. На сайте NA утверждалось, что сервис собирает данные миллионов пользователей, согласившихся на это. Джадали вместе с журналистами Ars Technica и The Washington Post интервьюировали пострадавших пользователей, включая частных лиц и крупные корпорации.[1][2] Согласно этим интервью, пользователи не давали согласия на подобный сбор информации.