Web of Trust zegt doorverkoop van internetgeschiedenissen te onderzoeken

Het bedrijf achter de browserextensie Web of Trust zegt de doorverkoop van de internetgeschiedenis van gebruikers te onderzoeken. Deze week berichtte de Duitse omroep NDR dat de extensie gegevens onvoldoende anonimiseert en doorverkoopt aan derden.

Een woordvoerder van Web of Trust zegt dat het onderzoek zal doen en maatregelen wil nemen 'als blijkt dat gebruikersgegevens onvoldoende geanonimiseerd en beschermd werden', schrijft de site Heise. Daarnaast wijst de woordvoerder op het feit dat het doorgeven van geanonimiseerde gegevens aan derde partijen in de voorwaarden van de extensie wordt genoemd en dat het bedrijf nooit inloggegevens van gebruikers prijsgeeft.

Tijdens het onderzoek van de NDR bleek dat het mogelijk was om verschillende gebruikers aan de hand van de Web of Trust-gegevens te identificeren, bijvoorbeeld met e-mailadressen en url's. Donderdag kwam de NDR met een nieuw persbericht, waaruit blijkt dat bovendien de gegevens van verschillende Duitse politici in te zien zijn. Dat betreft bijvoorbeeld vertrouwelijke gegevens over afspraken, interne aangelegenheden en persoonlijke informatie van de politici.

Daarnaast publiceerde Mozilla-vrijwilliger Rob Wu een post op GitHub waarin hij de Web of Trust-extensie onder de loep neemt. Tijdens zijn onderzoek kwam hij een onderdeel in de broncode tegen dat Web of Trust de mogelijkheid geeft om willekeurige code op webpagina's uit te voeren. Hij meldt dat de extensie hiermee bankgegevens kan stelen of malware kan installeren, maar dat deze functie nog niet is gebruikt.

Hij meldde zijn bevinding op het Bugzilla-platform. Daar loopt de discussie om de add-on volledig te verwijderen. Een Mozilla-medewerker reageert op de melding van Wu met de mededeling dat het vaker voorkomt dat 'het uitvoeren van code door add-ons mogelijk is, maar dat het over het algemeen niet is toegestaan'.

Dinsdag presenteerde de NDR de resultaten van zijn onderzoek, waaruit bleek dat Web of Trust en andere, niet nader genoemde add-ons de gegevens van gebruikers onvoldoende anonimiseren en doorverkopen aan derde partijen. Onderzoekers kregen de gegevens in handen door zich voor te doen als bedrijf dat zich bezighoudt met 'big data'.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 03-11-2016 15:20 41

03-11-2016 • 15:20

41

Lees meer

Grondlegger web: we moeten meer controle krijgen over persoonlijke data
Grondlegger web: we moeten meer controle krijgen over persoonlijke data Nieuws van 13 maart 2017
'Web of Trust en andere add-ons verkopen internetgeschiedenis gebruikers'
'Web of Trust en andere add-ons verkopen internetgeschiedenis gebruikers' Nieuws van 2 november 2016
Internet Privacy Add-on

Reacties (41)

-Moderatie-faq
41
41
35
5
1
2
Wijzig sortering
Anoniem: 1322 3 november 2016 15:36
Een goede reminder voor iedereen om eens kritisch naar je extensies te kijken.
De meeste van deze extensies zijn gratis en daarom ben jij het product (jou persoonlijke gegevens of je surfgedrag).

Neem even de tijd om ze door te nemen
Google Chrome:
chrome://extensions/

Firefox:
Click the menu button and choose Add-ons. The Add-ons Manager tab will open.
In the Add-ons Manager tab, select the Extensions or Appearance panel.

Egde:
Open Microsoft Edge and select More (...) > Extensions

Internet explorer:
Open Internet Explorer, select the Tools button , and then select Manage add-ons.
Under Show, select All add-ons.

Opera (Thx,Markimoo):
opera://extensions

Safari (Mac):
Choose Preferences from the Safari menu, then click Extensions.

En uiteraard Facebook:
https://www.facebook.com/settings?tab=applications

[Reactie gewijzigd door Anoniem: 1322 op 27 juli 2024 04:00]

MadEgg @Anoniem: 13223 november 2016 16:02
Vergeet vooral de browser zelf ook niet, die is immers ook gratis. Indirect betaal je alleen voor Edge/IE en Safari wat. Maar in ieder geval nog wel met geld.
SilentLucidity @MadEgg3 november 2016 16:21
Firefox is niet uit op data, opera ook niet. Of maak ik nu al een denkfout?
MadEgg @SilentLucidity3 november 2016 16:25
Ik twijfelde om Mozilla te nuanceren door het feit dat ze (deels) een stichting zijn en leven op donaties van andere bedrijven. Ik heb geen idee wat Opera's verdienmodel is. Aangezien Google's verdienmodel openlijk user profiling is vermijt ik Chrome in ieder geval, maar als je uitgaat van "als je er niet voor betaalt ben je zelf het product" is het lastig om de keuze voor Firefox of Opera direct te verdedigen.

Sowieso stuurt Firefox natuurlijk standaard een deel van je privacy-gevoelige browse-informatie door naar Google, dan wel direct, dan wel indirect, met behulp van de safe browsing methodes en zoeksuggesties als je in de adresbalk / zoekbalk typt. Daar krijgt Mozilla dan ook weer voor betaalt door Google dacht ik. Ook OCSP is vanuit privacy-oogpunt dubieus, maar dan richting de certificaatboeren. Gelukkig kun je het allemaal uitzetten.

[Reactie gewijzigd door MadEgg op 27 juli 2024 04:00]

goeroeboeroe @MadEgg3 november 2016 19:48
Het wordt vaker gedacht dat Firefox data doorstuurt vanwege Safe Browsing. Dat is dus niet zo. De lijst met gevaarlijke sites wordt elk halfuur gedownload. Als je 'n site bezoekt, wordt die site gecheckt tegen die gedownloade lijst. Er worden dus geen data naar Google verzonden. Voor hoe dit precies werkt:
https://support.mozilla.o...d-malware-protection-work
Ook het verhaal over zoeksuggesties die naar Google worden gestuurd als je iets in de adresbalk of zoekbalk typt, is onzin. Dat is alleen het geval, als je als zoekmachine Google opgeeft. En ook dan nog alleen, als je daar in de instellingen voor kiest.
MadEgg @goeroeboeroe3 november 2016 19:58
En welke zoekmachine is standaard? O ja, Google. En zoeksuggesties staan standaard aan. Gister nog een nieuwe installatie van Firefox op een lege Windows gedaan, ook daar moest ik dat weer uitzetten.

Safe browsing stuurt elk halfuur een signaaltje naar Google dat ik op internet zit. Nee bedankt. Google hoeft *niets* van mijn internetgedrag te weten. Ook niet wanneer mijn browser draait. Mozilla net zo min overigens.

En van jouw link:
When you download an application file, Firefox checks the site hosting it against a list of sites known to contain “malware”. If the site is found on that list, Firefox blocks the file immediately, otherwise it asks Google’s Safe Browsing service if the software is safe by sending it some of the download’s metadata.*
Downloads kunnen ook doorgestuurd worden.
goeroeboeroe @MadEgg3 november 2016 20:07
Ik raad iedereen - als je voldoende geïnteresseerd bent - aan om zelf even die volledige tekst te lezen bij mozilla, in plaats van alleen een los citaat. Kun je zelf 'n mening vormen.
MadEgg @goeroeboeroe3 november 2016 20:20
Daar sluit ik me bij aan. Het enige wat ik zeg is dat er wel degelijk gegevens over je browsegedrag verstuurd worden, ook bij het gebruik van Mozilla Firefox. Zowel naar Google als naar Mozilla. Of je dat erg vindt mag je zelf bepalen, o.a. naar aanleiding van de tekst in dat artikel.

Persoonlijk wil ik dat er 0.0 informatie over mijn browsegedrag verstuurd wordt. Daarom zet ik álles uit. Inschatten of iets een legitieme website is of niet kan ik zelf heel goed, en als ik twijfel (zelden) ben ik prima in staat om zelf een zoekmachine te gebruiken.
xrf @MadEgg3 november 2016 22:24
Als ik het mij goed herinner dan schakelt Firefox alleen URLbalkzoeksuggesties in als je op "Ja" klikt bij de vraag of je het wil inschakelen na een schone installatie, toch? Of is dat in de laatste paar maanden gewijzigd?
MadEgg @xrf3 november 2016 22:32
Klopt, dat zijn suggesties in de URL-balk. Je krijgt ook suggesties in de zoekbalk, en die krijg je altijd, tenzij je dat expliciet uitschakelt. Daarnaast, als je een typefout maakt bij een adres in d URL-balk dan wordt je omgeleid naar een zoekmachine (Google dus), tenzij je keyword.enabled in about:config uitschakelt.
DeBierVampier @MadEgg3 november 2016 17:36
Zou je kunnen toelichten hoe je dit uit kan zetten voor FireFox?
jeroen7s @DeBierVampier3 november 2016 19:58
firefox instellingen
-bij search zoekengine eventueel veranderen naar duckduckgo of searx.me
-bij security Block reported attack sites uitzetten (gebruikt google safe search)
-bij security Block reported web forgeries uitzetten
-advanced->data choices-> health report disablen
MadEgg @DeBierVampier3 november 2016 20:27
In aanvulling op jeroen7s:

bij about:preferences -> advanced -> certificates -> Query OCSP responder servers (dit zet het navragen van de status van een certificaat bij de uitgever uit)

en bij about:config keyword.enabled op false zetten (dit zet het zoeken naar wat je in de adresbalk intypt uit).

Natuurlijk volledig op eigen risico; deze dingen hebben zo hun functie. Met OCSP uitgescakeld zie je het bijvoorbeeld niet als een certificaat is ingetrokken door de uitgever. Interesseert mij vrij weinig aangezien het hele certificaatsysteem toch een farce is totdat we iets als DANE op grote schaal gaan toepassen. Safe Surfing etc kan natuurlijk je ook beschermen als je jezelf niet in staat acht om aanvalssites te herkennen.
Anoniem: 420148 @MadEgg3 november 2016 20:51
"als je er niet voor betaalt ben je zelf het product"

Is sowieso een zin die niet overal toepasselijk is. Er zijn genoeg gratis diensten die opgezet zijn door scholen, stichtingen etc. Er zijn ook oprecht instanties die terug willen geven aan de samenleving of uberhaupt bij willen dragen aan vooruitgang.
Timfonie @Anoniem: 13223 november 2016 15:48
De vraag is hoe je erachter kunt komen - voor zover dat al mogelijk is - welke informatie de verschillende extensies verzamelen en wat ze er mee doen. Ik heb geprobeerd uit te vinden of bepaalde add-ons die ik in Firefox heb geinstalleerd, een database aanleggen van door mij bezochte pagina's. Helaas heb ik daar geen duidelijkheid over kunnen krijgen.
Ik laat Firefox al geen geschiedenis bewaren, dus zou ik het pijnlijk vinden als sommige plugins dat wel doen.
RoestVrijStaal @Timfonie3 november 2016 15:57
Bij PM en FF kun je gewoon de xpi van de extensie uitpakken (is in feite een zip container) en door de bestanden spitten.
boe2 @RoestVrijStaal3 november 2016 16:08
En wie gaat zich daarmee bezighouden? Zelfs als developer ga ik absoluut niet de broncode van mijn extensies doorspitten voor ik ze gebruik. Ga je dan van iedereen verwachten dat ze dat wel doen?
smiba @boe23 november 2016 18:40
Zelfs als developer van een extensie ga ik niet het compleet doorpluizen, natuurlijk debug ik wat en kijk ik of het stabiel is.

Kwam een paar maanden geleden er achter dat een extensie van mij die ik jaren geleden heb geschreven toen ik net starte met inmiddels 3000 gebruikers een lelijk beveiligingsgat had.
Het is een extensie die wat dingen replaced en injecteert op de pagina, had ik helemaal niet over na gedacht dat een HTTP verzoek gewoon mooi de referal mee stuurt. Mijn extensie laadde de afbeeldingen gewoon over http. Gevolg? Elke pagina die er bezocht werd door een gebruiker werd in de referal tag mee gestuurd naar mijn server, over een niet beveiligde verbinding!

Gezien het een extensie is die ik enkel online houd omdat het blijkbaar actieve gebruikers heeft (Het is niet mijn beste werk) heb ik simpelweg de verbinding over HTTPS laten lopen en logs uitgeschakeld.

Dit gebeurt waarschijnlijk bij veel extensies die externe scripts / files injecteren
Rob Wu @smiba4 november 2016 09:38
Voeg referrerPolicy="no-referrer" toe aan je <img> en dan wordt er geen URL meer gelekt naar jouw server vanaf Firefox 50, zie https://developer.mozilla...ageElement/referrerPolicy
smiba @Rob Wu5 november 2016 10:59
Jammer genoeg is mijn extensie een chrome extensie, enig idee of dit ooit geporteerd gaat worden naar Chromium?
Rob Wu @smiba5 november 2016 15:21
Al sinds versie 51, zie https://www.chromestatus.com/feature/5743723954569216

Ik heb net MDN bijgewerkt.
Zumpelvelder @boe23 november 2016 16:17
Misschien een leuk idee als tweakers een onderzoekje doet naar de 20 meest gebruikte en hier een analyse op los laat? Ik zou het artikel zeker lezen :)
Donvermicelli @Timfonie3 november 2016 16:08
De vraag is hoe je erachter kunt komen - voor zover dat al mogelijk is - welke informatie de verschillende extensies verzamelen en wat ze er mee doen.
Ik heb geen directe oplossing voor mensen die Windows draaien maar op macOS draai ik LittleSnitch, dit is een onder andere een uitgaande firewall die het verkeer die mijn computer verlaat controleert. Zodra een extensie of app verbinding probeert te maken met een extern adres dan krijg ik hier melding van. Vervolgens kun je dan gaan beoordelen of de verbinding veilig is of dat deze noodzakelijk is.

Lastpass probeert bijvoorbeeld met Google te verbinden binnen de client, hier krijg je dan een melding van en dan kun je vervolgens kiezen om dit eenmalig, tijdelijk of permanent toe te staan of te weigeren. Super handig als je graag zelf de touwtjes in handen hebt.
MadEgg @Donvermicelli3 november 2016 17:05
LittleSnitch is inderdaad een heerlijke firewall. Helaas niets voor Windows wat ook maar enigszins in de buurt komt. Er zijn wel wat uitgaande firewalls die iets soortgelijks bereiken maar door de architectuur van Windows is dat lastig; heel veel requests komen uiteindelijk indirect via een of andere systeem-DDL van Windows waardoor je niet duidelijk ziet welk programma nu verantwoordelijk is voor die request. En als je die DLL whitelist heb je geen inzicht meer.

Voor Linux heb je Leopard Flower wat wel wat van Little Snitch heeft, maar heeft nog een hele lange weg moet gaan qua stabiliteit en gebruikersvriendelijkheid. Helaas lijkt dat ook niet meer doorontwikkeld te worden.
Dreeke fixed @MadEgg3 november 2016 20:51
Misschien is TinyWall wat voor Windows, vroeger gebruikte ik Tiny Firewall en die was redelijk gebruiks vriendelijk, en gaf ook een melding bij uitgaand verkeer. nu gebrukt ik geen Windows meer.
Meg @Anoniem: 13223 november 2016 15:43
Je vergeet Opera: opera://extensions
Settler11 @Anoniem: 13223 november 2016 16:02
En hoe zit het het Safari? :) (Ben zelf geen Apple gebruiker, maar het zou wel leuk zijn als het weer terug kwam op Windows)
JDVB 3 november 2016 15:30
Update van MyWot:
Dear users,
We take our users’ privacy rights very seriously, and for that reason we go to great lengths to anonymize and aggregate the data we collect to run our service, and we of course never license or disclose user registration information.
If there have been instances where any information was not adequately anonymized and protected, we will of course look into it and, where necessary, take measures to ensure adequate protection for our users. We appreciate the users who have contacted us and brought this to our attention.
We will continue to proudly protect our users from countless online threats as we have for the past decade.
Ik had dit zelf ook geïnstalleerd staan, kun je beoordelingen van websites van andere bezoekers zien.
Dus op moment dat je een neppe webshop tegenkomt hoef je niet eerst te googelen of deze echt nep is maar krijg je direct een waarschuwing.

De addon op zich is best nuttig, maar nu blijkt dus dat deze zelf niet te vertrouwen is.
Het doorverkopen van:
  • e-mailadressen
  • url's
  • vertrouwelijke gegevens over afspraken
  • interne aangelegenheden
  • persoonlijke informatie (van de politici)
Daarnaast lijkt de addon mij zelf malware te zijn vanwege:
kwam hij een onderdeel in de broncode tegen, dat Web of Trust de mogelijkheid geeft om willekeurige code op webpagina's uit te voeren
Dat is toch best een pittige opsomming en wat mij betreft inderdaad direct reden om deze addon te verwijderen en te verwachten van Mozilla dat deze de addon niet langer aanbiedt.

Helaas is deze op dit moment nog wel te vinden op https://addons.mozilla.org/en-US/firefox/addon/wot-safe-browsing-tool/. De recente comments daar vermelden gelukkig wel dat het niet goed zit met deze addon. Ik voeg mijn stem ook maar even toe.
Dat maar velen dat ook even mogen doen zodat de waardering heel snel keldert.

[Reactie gewijzigd door JDVB op 27 juli 2024 04:00]

frank1fr @JDVB3 november 2016 16:53
Inmiddels is de plugin niet meer te downloaden:
"This add-on has been disabled by an administrator"
afterburn 3 november 2016 15:29
Elke plugin die content van een webpagina kan modificeren in de browser zou bank- of andere gegevens kunnen stelen of malware kunnen installeren. Daar vallen dus ook oa adblockers en password managers onder. Dus dat een plugin dit kan vind ik niet zo bijzonder en dit nu roepen komt mij meer over als aandacht zoeken.
kaas-schaaf @afterburn3 november 2016 15:31
Zolang dit lokaal gebeurd tot op zekere hoogte (strip, not add), echter de plugin haalt de 'rules' (een js file/parameter lijst) extern op. Hierdoor is er geen enkele verificatie mogelijk wat er ingeladen wordt of uitrevoerd kan worden.

Zie de Rob Wu publicatie.

[Reactie gewijzigd door kaas-schaaf op 27 juli 2024 04:00]

Rob Wu @afterburn4 november 2016 00:20
Gewone (niet-kwaadaardige) extensies voeren niet willekeurige code van externe bronnen uit in elke pagina die je bezoekt.
Bij WOT was dat wel het geval. Sterker nog, het bevatte zelfs de mogelijkheid om code uit te voeren met de rechten van Firefox, waardoor er in het ergste geval malware op het systeem geïnstalleerd kan worden, zonder interactie noch medeweten van de gebruiker. Daarom heb ik dit als een kritiek probleem bestempeld.
ShakerNL 3 november 2016 15:46
Gevalletje mosterd na de maaltijd. Ik heb de extensie al verwijderd.
HollowGamer @ShakerNL3 november 2016 15:57
Hoe zit het bij al die andere waar deze extensie nog altijd is geïnstalleerd? :|

Beter zou zijn dat Mozilla deze uit de Add-ons catalog verwijderd en tevens deze op elke installatie standaard blokkeert en waarschuwt. Verwijderen is doorgaans te drastisch.

Verder wil ik niet weten hoeveel mensen zo'n extensie als deze gebruiken, zelfs Antivirussoftware hebben tegenwoordig een.
Mr777 3 november 2016 16:45
Ik snap niet waarom mensen zo'n extra kinderjuffrouw willen installeren. We worden al genoeg betutteld (bijvoorbeeld door Google met z'n ergerlijke "web forgery" waarschuwingen zodra je in de buurt van een torrentsite komt, of z'n tergende "let op, iemand logde in op jouw account via een andere computer" als je het waagt om op verschillende computers in te loggen). Ik krijg het hier al serieus van op mijn zenuwen, laat staan dat ik nóg zo'n digitaal inspecteurtje erbij wil.
Pietervs @Mr7773 november 2016 17:15
Je bent niet verplicht om het te installeren.
Net zoals je niet verplicht bent om Google te gebruiken, gebruik bijvoorbeels eens duckduckgo.com

Maar sommige mensen vinden zo'n extra "digitaal inspecteurtje" wel fijn: er zijn nogal wat malafide websites in de wereld en als je een beetje extra zekerheid wil voor je je gegevens van je credit card ingeeft op het internet is dit dus een optie. Jammer genoeg blijkt het geen goede optie te zijn...
Pietervs 3 november 2016 15:28
Tijdens zijn onderzoek kwam hij een onderdeel in de broncode tegen, dat Web of Trust de mogelijkheid geeft om willekeurige code op webpagina's uit te voeren. Hij meldt dat de extensie hiermee bankgegevens kan stelen of malware kan installeren, maar dat deze functie nog niet is gebruikt.

Hij meldde zijn bevinding op het Bugzilla-platform. Daar loopt de discussie om de add-on volledig te verwijderen.
Korte discussie, lijkt mij... :)
Meg 3 november 2016 15:30
"Daarnaast publiceerde Mozilla-vrijwilliger Rob Wu een post op GitHub, waarin hij de Web of Trust-extensie onder de loep neemt. Tijdens zijn onderzoek kwam hij een onderdeel in de broncode tegen, dat Web of Trust de mogelijkheid geeft om willekeurige code op webpagina's uit te voeren. Hij meldt dat de extensie hiermee bankgegevens kan stelen of malware kan installeren, maar dat deze functie nog niet is gebruikt." - Dit geeft natuurlijk ook weer een reden om de addon (die reeds is verwijderd) te verwijderen. Ik moet er niet aan denken dat bepaalde gegevens, zoals bankgegevens worden gestolen.

Ik ben ook benieuwd naar een eventuele reactie van WoT na dat onderzoek. :)

Edit: Ook op het forum van WoT loopt er een discussie over.

[Reactie gewijzigd door Meg op 27 juli 2024 04:00]

DeBierVampier 3 november 2016 15:27
Misschien handig om te vermelden waar de Web-Of-Trust extentie voor gebruikt wordt? Ik ga even googelen, kom zo terug.

EDIT:
Check out any website for reputation and safety information based on users' experience.

[Reactie gewijzigd door DeBierVampier op 27 juli 2024 04:00]

mutley69 3 november 2016 20:19
Wat een naam voor een privacy-schendende-plugin. Van Clinton vs. Trump wordt ik al nerveus - maar dit soort beunhazerij maakt me eigenlijk razend.
= Firma 101 op de zwarte lijst dus!

[Reactie gewijzigd door mutley69 op 27 juli 2024 04:00]

Videopac 4 november 2016 08:53
Afgezien van wat je tegen deze malafide praktijken kunt doen: ik mag hopen dat dit "bedrijf" een zware straf opgelegd krijgt. Idem de directie, persoonlijk: CEO/CFO/CxO een tijdje achter tralies.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq