Популярне розширення Stylish для кастомізації інтерфейсів сайтів вже більше року збирає історію відвідувань в браузерах і відправляє дані на сервери компанії SimilarWeb. Про це написав розробник Роберт Хітон (Robert Heaton) у своєму блозі “Stylish” browser extension steals all your internet history”, повідомляє SecurityLab.

Як виявилося, розширення з аудиторією більше 2 мільйонів користувачів передає призначені для користувача дані компанії SimilarWeb. Її послугами користуються багато розробників і великі корпорації, яким потрібна веб-аналітика.

За словами розробника Роберта Хітона, після переходу у володіння SimilarWeb в січні 2017 року, в розширення був доданий прихований шпигунський функціонал, що фіксує кожен інтернет-ресурс, який відвідують користувачі. Stylish відправляє дані про активність користувачів разом з унікальним ідентифікатором на сервери компанії. Таким чином, SimilarWeb може прив’язати всю активність до особистого профілю користувача. У випадку з тими, хто створив обліковий запис на userstyles.org, ідентифікатор може бути легко прив’язаний до файлів cookie, що використовуються для авторизації.

«Це означає, що в розпорядженні SimilarWeb знаходяться не тільки повні історії відвідувань, але і достатньо даних для того, щоб зв’язати ці історії з адресами електронної пошти і справжніми іменами», – написав Хітон в своєму блозі.

Так, в SimilarWeb знають, на які профілі в соціальних мережах Ви переходили, а також мають доступ до приватних посилань з листів з унікальними ключами. Витік такої інформації не просто небажаний, а небезпечний для користувача.

Примітно, що компанія SimilarWeb повідомила про впровадження аналітики ще при покупці в 2017 році. У цілому, можна обійтися без видалення розширення – досить вимкнути аналітику в його налаштуваннях.