DataSpii
DataSpii — утечка данных, напрямую затронувшая личную информацию до 4 миллионов пользователей браузеров Chrome и Firefox через минимум восемь расширений для браузеров[1][2]. К числу этих расширений относились Hover Zoom, SpeakIt!, SuperZoom, SaveFrom.net Helper, FairShare Unlock, PanelMeasurement, Branded Surveys и Panel Community Surveys. В результате утечки стала доступна лично идентифицируемая информация (PII), корпоративная информация (CI) и государственная информация (GI). DataSpii затронула такие организации, как Пентагон, Walmart, AT&T, Zoom, Bank of America, Sony, Kaiser Permanente, Apple Inc., Microsoft, Amazon (компания), Symantec, FireEye, Trend Micro, Boeing, Tesla, Inc., SpaceX, Pfizer, Palo Alto Networks и др[3]. Крайне чувствительная информация (например, топология частных сетей), относящаяся к этим компаниям и учреждениям, перехватывалась и передавалась компаниям, находящимся в иностранной юрисдикции[4].
Механизм утечки
Вредоносные расширения собирали URL-адреса, заголовки веб-страниц и встроенные гиперссылки. При этом некоторые из них (например, Hover Zoom и SpeakIt!) начинали сбор данных только через несколько недель после установки для обхода обнаружения[5]. Утечка конфиденциальной информации происходила из-за того, что многие веб-сервисы включают идентификаторы сессий и ключи доступа непосредственно в URL-адреса[6].
В сборе данных участвовали восемь вредоносных расширений:[3]
- Hover Zoom
- SpeakIt!
- SuperZoom
- SaveFrom.net Helper
- FairShare Unlock
- PanelMeasurement
- Branded Surveys
- Panel Community Surveys
Утёкшие данные становились доступны через Nacho Analytics (NA), маркетинговую аналитическую компанию, описывавшую себя как «god mode for the internet» («режим бога для интернета»)[7]. Как платные, так и бесплатные участники NA получали доступ к этим утёкшим данным. После регистрации в сервисе NA пользователи получали возможность просматривать данные через аккаунт Google Analytics.
В рамках DataSpii в открытом виде распространялась информация, связанная с медицинскими записями, налоговыми декларациями, GPS-координатами, маршрутами поездок, генеалогическими данными, именами пользователей, паролями, банковскими картами, генетическими профилями, внутренними отчётами компаний, заданиями сотрудников, ключами API, служебным программным кодом, параметрами локальных сетей, кодами доступа к межсетевым экранам, корпоративными секретами, рабочими материалами и уязвимостями типа «нулевой день»[3].
Обнаружение и расследование
Сбор данных начался как минимум за семь месяцев до публичного раскрытия утечки[5].
DataSpii была обнаружена и описана специалистом по кибербезопасности Сэмом Джадали. Запрашивая данные по одному домену в NA, он мог в реальном времени видеть задачи сотрудников тысяч компаний. На сайте NA утверждалось, что сервис собирает данные миллионов пользователей, согласившихся на это. Джадали вместе с журналистами Ars Technica и The Washington Post интервьюировали пострадавших пользователей, включая частных лиц и крупные корпорации[1]. Согласно этим интервью, пользователи не давали согласия на подобный сбор информации.
В середине июля 2019 года Сэм Джадали опубликовал подробный отчёт об инциденте под названием «DataSpii: катастрофическая утечка данных через браузерные расширения»[3].
Последствия
После публикации отчёта компании Google и Mozilla удалили вредоносные расширения из своих магазинов и удалённо деактивировали их в браузерах пользователей[6]. В августе 2019 года сервис Nacho Analytics прекратил свою работу.
Инцидент оказал значительное влияние на безопасность браузеров: он стал катализатором для внедрения Google новой архитектуры расширений Manifest V3, ключевым нововведением которой стал запрет на удалённо размещаемый код. В то же время Mozilla усилила контроль за дополнениями через программу ручной проверки безопасности Recommended Extensions[8].