{"id":1142,"date":"2019-07-20T01:02:02","date_gmt":"2019-07-20T01:02:02","guid":{"rendered":"http:\/\/jorgezanoni.com.br\/2019\/?p=1142"},"modified":"2019-07-20T01:02:02","modified_gmt":"2019-07-20T01:02:02","slug":"extensoes-do-chrome-e-firefox-vazaram-sites-visitados-por-milhoes-de-internautas","status":"publish","type":"post","link":"https:\/\/jorgezanoni.com.br\/2019\/extensoes-do-chrome-e-firefox-vazaram-sites-visitados-por-milhoes-de-internautas\/","title":{"rendered":"Extens\u00f5es do Chrome e Firefox vazaram sites visitados por milh\u00f5es de internautas"},"content":{"rendered":"<h2 class=\"content-head__subtitle\"><strong>Endere\u00e7os revelaram informa\u00e7\u00f5es particulares e eram disponibilizados por empresa de marketing.<\/strong><\/h2>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"49\" data-block-id=\"2\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">O especialista em seguran\u00e7a Sam Jadali veio a p\u00fablico com uma pesquisa demonstrando como uma s\u00e9rie de pr\u00e1ticas em sistemas corporativos, servi\u00e7os on-line, extens\u00f5es de navegadores e compartilhamento de dados que resultaram no vazamento de informa\u00e7\u00f5es privadas, incluindo fotos, reuni\u00f5es e documentos financeiros armazenados em endere\u00e7os web particulares.<\/p>\n<\/div>\n<div class=\"wall protected-content\">\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"23\" data-block-id=\"3\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Esses endere\u00e7os foram coletados por extens\u00f5es dispon\u00edveis para os navegadores Google e Firefox e instaladas por mais de quatro milh\u00f5es de internautas.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles\" data-block-type=\"raw\" data-block-weight=\"24\" data-block-id=\"4\">\n<blockquote class=\"content-blockquote theme-border-color-primary-before\"><p>Jadali deu ao caso o nome de &#8220;DataSpii&#8221;, misturando as palavras &#8220;data&#8221; (dados), spy (espi\u00e3o) e PII, sigla em ingl\u00eas para &#8220;informa\u00e7\u00e3o pessoalmente identific\u00e1vel&#8221;.<\/p><\/blockquote>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"69\" data-block-id=\"5\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">O especialista identificou extens\u00f5es disponibilizadas para os navegadores Chrome e Firefox que coletam todos os endere\u00e7os web acessados pelo usu\u00e1rio e descobriu que dados eram enviados a um servidor de controle para serem repassados \u00e0 Nacho Analytics, um servi\u00e7o de marketing. Essa empresa permitia que qualquer pessoa assinasse um servi\u00e7o de &#8220;monitoramento de dom\u00ednio&#8221; para ver, praticamente em tempo real, o que as pessoas estavam acessando no site monitorado.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"40\" data-block-id=\"6\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Por exemplo, \u00e9 poss\u00edvel assinar o servi\u00e7o para monitorar o endere\u00e7o &#8220;1drv.ms&#8221; e visualizar todos os links compartilhados do OneDrive da Microsoft que foram acessados pelos usu\u00e1rios que instalaram essas extens\u00f5es. O link em si d\u00e1 acesso ao documento compartilhado.<\/p>\n<\/div>\n<div class=\"content-ads content-ads--reveal\" data-block-type=\"ads\" data-block-id=\"7\">\n<div id=\"banner_materia2\" class=\"tag-manager-publicidade-container mc-has-reveal mc-has-ad-lazyload tag-manager-publicidade-banner_materia2 tag-manager-publicidade-container--carregado tag-manager-publicidade-container--visivel\" data-id=\"banner_materia2\" data-google-query-id=\"CM-578mlwuMCFYRjwQodtgAG2Q\" data-cid=\"138276080064\" data-lid=\"5121816876\">\n<div id=\"google_ads_iframe_\/95377733\/tvg_G1\/Tecnologia_2__container__\"><iframe loading=\"lazy\" id=\"google_ads_iframe_\/95377733\/tvg_G1\/Tecnologia_2\" title=\"3rd party ad content\" src=\"https:\/\/tpc.googlesyndication.com\/safeframe\/1-0-35\/html\/container.html\" name=\"\" width=\"970\" height=\"250\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\" sandbox=\"allow-forms allow-pointer-lock allow-popups allow-popups-to-escape-sandbox allow-same-origin allow-scripts allow-top-navigation-by-user-activation\" data-is-safeframe=\"true\" data-google-container-id=\"5\" data-load-complete=\"true\" data-mce-fragment=\"1\"><\/iframe><\/div>\n<\/div>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"38\" data-block-id=\"8\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Redes sociais, como o Facebook, tamb\u00e9m permitem que fotos sejam acessadas sem a realiza\u00e7\u00e3o do login caso algu\u00e9m tenha o link direto para o arquivo da imagem, abrindo outra brecha para expor informa\u00e7\u00f5es a partir dos links vazados.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"77\" data-block-id=\"9\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Mas n\u00e3o s\u00e3o apenas documentos e arquivos em servi\u00e7os de armazenamento em nuvem que podem ficar expostos. Sistemas internos de empresas, mesmo que n\u00e3o sejam acess\u00edveis pela internet, tamb\u00e9m podem expor informa\u00e7\u00f5es. Se um funcion\u00e1rio realiza uma pesquisa em um sistema interno, essas informa\u00e7\u00f5es podem ser registradas pela extens\u00e3o. As informa\u00e7\u00f5es podem fazer refer\u00eancia a projetos comerciais, nomes de clientes ou outras quest\u00f5es sigilosas da empresa, mesmo que o conte\u00fado em si n\u00e3o seja acess\u00edvel pela internet.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"56\" data-block-id=\"10\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Jadali descobriu que funcion\u00e1rios de empresas de seguran\u00e7a e montadoras de ve\u00edculos tinham instalado alguma das extens\u00f5es e por isso estavam vazando dados internos. Ele tamb\u00e9m identificou reuni\u00f5es cadastradas no servi\u00e7o de confer\u00eancias on-line Zoom solicitando o monitoramento do endere\u00e7o &#8220;zoom.us&#8221; e balan\u00e7os financeiros por meio do monitoramento da Intuit, criadora de um software de contabilidade.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"29\" data-block-id=\"11\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Dados de passageiros ou de viagens tamb\u00e9m estavam presentes em endere\u00e7os de sites de companhias a\u00e9reas e de transporte, enquanto dados m\u00e9dicos ficavam em endere\u00e7os de servi\u00e7os de sa\u00fade.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"52\" data-block-id=\"12\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Jadali teve que assinar o servi\u00e7o para cada endere\u00e7o junto \u00e0 Nacho Analytics, ent\u00e3o n\u00e3o \u00e9 poss\u00edvel saber o nome de todas as companhias e empresas que tiveram informa\u00e7\u00f5es vazadas. O especialista alerta que a companhia oferecia um servi\u00e7o gr\u00e1tis para fins de &#8220;teste&#8221;, o que tamb\u00e9m pode ser aproveitado por criminosos.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"36\" data-block-id=\"13\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">A Nacho Analytics alegou que seu servi\u00e7o \u00e9 totalmente l\u00edcito e que todos os dados pertencem a usu\u00e1rios que autorizaram a coleta. De fato, as pol\u00edticas das extens\u00f5es autorizavam a coleta dos endere\u00e7os visitados na web.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"66\" data-block-id=\"14\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">A Nacho Analytics tamb\u00e9m informou que removia informa\u00e7\u00f5es sens\u00edveis antes de disponibilizar os links para consulta no servi\u00e7o e que os links eram disponibilizados de forma an\u00f4nima, ou seja, sem liga\u00e7\u00e3o espec\u00edfica com o usu\u00e1rio. Isso significa que n\u00e3o havia meio de ver todos os sites acessados por uma s\u00f3 pessoa, por exemplo, ainda que todos os links acessados por essa pessoa estivessem abertos na ferramenta.<\/p>\n<\/div>\n<div class=\"content-ads content-ads--reveal\" data-block-type=\"ads\" data-block-id=\"15\">\n<div id=\"banner_materia__253c688d-245b-4655-a9c8-001865f806e1\" class=\"tag-manager-publicidade-container mc-has-reveal mc-has-ad-lazyload tag-manager-publicidade-banner_materia__253c688d-245b-4655-a9c8-001865f806e1 tag-manager-publicidade-container--carregado tag-manager-publicidade-container--visivel\" data-id=\"banner_materia__253c688d-245b-4655-a9c8-001865f806e1\" data-google-query-id=\"CNqq_MqlwuMCFU9mwQodiM0I3g\" data-cid=\"138275871459\" data-lid=\"5120534805\">\n<div id=\"google_ads_iframe_\/95377733\/tvg_G1\/Tecnologia_3__container__\"><iframe id=\"google_ads_iframe_\/95377733\/tvg_G1\/Tecnologia_3\" title=\"3rd party ad content\" name=\"google_ads_iframe_\/95377733\/tvg_G1\/Tecnologia_3\" width=\"970\" height=\"150\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\" data-google-container-id=\"7\" data-load-complete=\"true\" data-mce-fragment=\"1\"><\/iframe><\/div>\n<\/div>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"44\" data-block-id=\"16\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Ap\u00f3s a den\u00fancia de Jadali, as extens\u00f5es foram todas removidas da Chrome Web Store e do reposit\u00f3rio oficial de extens\u00f5es do Firefox. No Twitter, a Nacho Analytics informou que n\u00e3o est\u00e1 comercializando novas assinaturas do servi\u00e7o porque seu parceiro de dados interrompeu suas opera\u00e7\u00f5es.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles\" data-block-type=\"raw\" data-block-weight=\"3\" data-block-id=\"17\">\n<div class=\"content-intertitle\">\n<h2>Dados em links<\/h2>\n<\/div>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"37\" data-block-id=\"18\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">N\u00e3o \u00e9 recomendado que dados sigilosos sejam inclu\u00eddos no endere\u00e7o de p\u00e1ginas web. A pr\u00e1tica mais segura \u00e9 exigir uma senha ou c\u00f3digo durante o acesso. Isso impediria o vazamento de dados sens\u00edveis pelo endere\u00e7o das p\u00e1ginas.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"52\" data-block-id=\"19\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Em muitos casos, no entanto, n\u00e3o \u00e9 conveniente exigir senhas ou autentica\u00e7\u00e3o. Por isso, esses endere\u00e7os devem ser usados apenas de modo particular. Quando o endere\u00e7o \u00e9 vazado por uma extens\u00e3o ou outro componente, a \u00fanica medida de seguran\u00e7a \u2013 o sigilo do endere\u00e7o \u2013 \u00e9 violada e os dados ficam expostos.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles\" data-block-type=\"raw\" data-block-weight=\"5\" data-block-id=\"20\">\n<div class=\"content-intertitle\">\n<h2>Extens\u00f5es que vazaram sites visitados<\/h2>\n<\/div>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles\" data-block-type=\"raw\" data-block-weight=\"46\" data-block-id=\"21\">\n<ul class=\"content-unordered-list\">\n<li>Hover Zoom (Chrome): 800 mil usu\u00e1rios<\/li>\n<li>SpeakIt (Chrome): 1,4 milh\u00e3o de usu\u00e1rios<\/li>\n<li>SuperZoom (Chrome\/Firefox): 329 mil usu\u00e1rios<\/li>\n<li>SaveFrom.net Helper (Firefox): 140 mil usu\u00e1rios<\/li>\n<li>FairShare Unlock (Chrome\/Firefox): 1 milh\u00e3o de usu\u00e1rios<\/li>\n<li>PanelMeasurement (Chrome): 500 mil usu\u00e1rios<\/li>\n<li>Branded Surveys (Chrome): 8 usu\u00e1rios<\/li>\n<li>Panel Community Surveys (Chrome): 1 usu\u00e1rio<\/li>\n<\/ul>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"31\" data-block-id=\"22\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Como as extens\u00f5es foram banidas dos reposit\u00f3rios oficiais, o navegador j\u00e1 deve informar que o funcionamento da extens\u00e3o foi suspenso. Elas n\u00e3o devem ser reativadas e recomenda-se que sejam desinstaladas definitivamente.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"14\" data-block-id=\"23\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">A lista de extens\u00f5es pode ser acessada pelos endere\u00e7os chrome:\/\/extensions (Chrome) ou about:addons (Firefox).<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"33\" data-block-id=\"24\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\">Quem tinha alguma das extens\u00f5es instaladas tamb\u00e9m deve modificar endere\u00e7os de links compartilhados e trocar as senhas tamb\u00e9m pode ajudar. Programadores devem cadastrar novas chaves de &#8220;API&#8221;, pois elas podem ter sido vazadas.<\/p>\n<\/div>\n<div class=\"mc-column content-text active-extra-styles \" data-block-type=\"unstyled\" data-block-weight=\"9\" data-block-id=\"25\">\n<p class=\"content-text__container \" data-track-category=\"Link no Texto\" data-track-links=\"\"><em>D\u00favidas sobre seguran\u00e7a, hackers e v\u00edrus? Envie para g1seguranca@globomail.com<\/em><\/p>\n<p data-track-category=\"Link no Texto\" data-track-links=\"\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-1143\" src=\"http:\/\/jorgezanoni.com.br\/2019\/wp-content\/uploads\/2019\/07\/altieres-rohr.png\" alt=\"\" width=\"1000\" height=\"240\" srcset=\"https:\/\/jorgezanoni.com.br\/2019\/wp-content\/uploads\/2019\/07\/altieres-rohr.png 1000w, https:\/\/jorgezanoni.com.br\/2019\/wp-content\/uploads\/2019\/07\/altieres-rohr-300x72.png 300w, https:\/\/jorgezanoni.com.br\/2019\/wp-content\/uploads\/2019\/07\/altieres-rohr-768x184.png 768w, https:\/\/jorgezanoni.com.br\/2019\/wp-content\/uploads\/2019\/07\/altieres-rohr-696x167.png 696w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/p>\n<p data-track-category=\"Link no Texto\" data-track-links=\"\">Fonte: G1<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Endere\u00e7os revelaram informa\u00e7\u00f5es particulares e eram disponibilizados por empresa de marketing. O especialista em seguran\u00e7a Sam Jadali veio a p\u00fablico com uma pesquisa demonstrando como uma s\u00e9rie de pr\u00e1ticas em sistemas corporativos, servi\u00e7os on-line, extens\u00f5es de navegadores e compartilhamento de dados que resultaram no vazamento de informa\u00e7\u00f5es privadas, incluindo fotos, reuni\u00f5es e documentos financeiros armazenados [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1144,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1142","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/jorgezanoni.com.br\/2019\/wp-json\/wp\/v2\/posts\/1142","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jorgezanoni.com.br\/2019\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jorgezanoni.com.br\/2019\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jorgezanoni.com.br\/2019\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/jorgezanoni.com.br\/2019\/wp-json\/wp\/v2\/comments?post=1142"}],"version-history":[{"count":0,"href":"https:\/\/jorgezanoni.com.br\/2019\/wp-json\/wp\/v2\/posts\/1142\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jorgezanoni.com.br\/2019\/wp-json\/wp\/v2\/media\/1144"}],"wp:attachment":[{"href":"https:\/\/jorgezanoni.com.br\/2019\/wp-json\/wp\/v2\/media?parent=1142"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jorgezanoni.com.br\/2019\/wp-json\/wp\/v2\/categories?post=1142"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jorgezanoni.com.br\/2019\/wp-json\/wp\/v2\/tags?post=1142"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}