Что разработчики популярного расширения для браузеров MyWOT (WOT или Web Of Trust), чье суммарное число скачиваний превышает 140 000 000, не только собирали данные о пользователях и их истории браузинга, но и продавали необезличенную информацию третьим сторонам. После публикации собранных журналистами данных, Google и Mozilla удалили аддон со своих порталов.

Журналисты пишут, что им удалось получить доступ к десяти миллионам URL, которые посещали пользователи WOT. Хотя разработчики аддона утверждали, что защищают анонимность своих пользователей, на деле оказалось, что их личности легко установить, так как URL зачастую содержат имена пользователей, email-адреса, ФИО и так далее. Журналисты пишут, что им без труда удалось идентифицировать 50 человек из контрольной выборки, а в истории пользователей удалось обнаружить данные о полицейских расследованиях, узнать сексуальные предпочтения судьи, закрытые финансовые данные коммерческих компаний, обнаружить пользователей, которые искали наркотики, проституток и так далее.

На официальном сайте расширения сказано, что за более чем десять лет существования оно было скачано свыше 140 млн раз. Злая ирония в том, что изначально аддон предназначался для присвоения репутации сайтам, которые посещают его пользователи. К примеру, ресурсы могли получить маркировку «небезопасно для детей», а также пользователи WOT могли пожаловаться на спам или неуважение к приватности данных.

Согласно данным все того же официального сайта WOT, аддон собирал следующие данные о пользователях, конечно же, на условиях полной анонимности:

Журналисты NDR рассказали, что разработчики расширения не сумели сделать собранную информацию обезличенной, но это не помешало им продавать данные заинтересованным лицам. Соглашение действительно предусматривало, что WOT может «делиться» собранной информацией с компанией-учредителем или ее партнерами, однако о продаже там не говорится ничего.

Однако помимо слежки за пользователями у WOT обнаружились и проблемы с безопасностью. Так, после репортажа NDR, независимый исследователь Роб Ву (Rob Wu) провел аудит кода WOT и опубликовал полученные результаты на GitHub . Ву пишет, что теоретически аддон способен выполнить произвольный код на любой странице, в том числе на привилегированных страницах браузера. Исследователь отмечает, что пока разработчики WOT данной функцией не злоупотребляли, но само ее наличие все равно вызывает беспокойство.

Издание The Register представителей WOT, которые уже прокомментировали происходящее. Разумеется, компания заявила, что относится к безопасности и приватности пользователей очень внимательно и делает всё, чтобы сохранить их анонимность. В компании заявили, что система, отвечавшая за «очистку» (обезличивание) данных, по всей видимости, работала не слишком хорошо, однако утечка информации коснулась «очень малого числа пользователей WOT». Разработчики сообщили, что по собственной инициативе удалили WoT со всех платформ и пообещали исправиться в будущем, представив обновленную версию аддона, где будут учтены все ошибки.

pull 26 июля 2016 в 15:52

Web Of Trust - инструмент давления на веб-сайты

• Управление проектами

Многие пользователи знакомы с браузерным расширением Web Of Trust уже очень давно. Оно является хорошим инструментом для избежания веб-сайтов с плохим рейтингом и вредоносным содержанием. Но, когда дело доходит до вашего веб-сайта - представление может измениться на 180 градусов. Дело банально начинается с автоматического выставления жёлтого кружочка после неопределённого времени работы проекта, либо рейтинга со стороны конкурентов. WOT предлагает переоценить веб-сайт на своём форуме - переоценка происходит не со стороны администрации, а со стороны опытных пользователей.

В надежде на положительные результаты, мы красиво и открыто составляем заявку, добавляем недостающие элементы. И, вот оно, первый комментарий переоценки.

«Опытный пользователь»: У вас не видно текста, фон мне не нравится - переделайте.

Не обращая внимания на не очень большой рейтинг данного пользователя - следуем дальше. Второй комментарий заявляет о том, что наш проект не имеет место быть - он незаконный. Приведу небольшой пример.

Пользователь отправляет проект по продаже игровых ключей, который является юридическим лицом, на переоценку. В первые минуты у него жёлтый рейтинг, а после часа его рейтинг упал до красного - никто ещё не ответил в теме переоценки. Далее отвечаю я, выставляю позитивный рейтинг. За дело берутся опытные пользователи и говорят владельцу проекта, что он нелегален и неизвестно кто им управляет - опытные пользователи даже не читали, что магазин является юридическим лицом. И всё - рейтинг уже ниже плинтуса.

Пришлось рекомендовать пользователю написать в СП WOT для сброса. Но ведь сама мораль такова, что не стоит соваться туда. В итоге - мы злобно отписываем в культурной форме, что наша заявка здесь очень зря и просим её удалить.

Вот пример ответа пользователя на ответ владельца о том, что веб-сайт является ООО:

Что в целом надо и не надо делать, если вы не готовы бить челом перед переоценщиками?

1. Не нужно отправлять заявку на их форум.
2. Если у вас достаточно клиентов, просите их в рекомендательной форме оставить отзыв на этом проекте.
3. Если вас угораздило оставить заявку - пишите запрос на её удаление и сброс рейтинг в связи с неадекватной оценкой переоценщиков.

В целом, можно разделиться на два лагеря - за и против WOT. И даже если процент пользователей WOT в СНГ 5-8%, какова вероятность, что в эти 8 процентов не входит ваш заветный клиент? Со стороны законности можно тоже долго спорить, ведь в РФ существует статья о клевете. Когда в вашей оценочной карте высвечивается пункт - мошенники или потенциально незаконное, можно подать в суд - но на кого? Задать этот вопрос мы собираемся в ФАС и Роскомнадзор.

С каждым днем количество сайтов в интернете все увеличивается. Но далеко не все из них безопасные для пользователя. К сожалению, мошенничество в сети очень распространено, и обычным пользователям, не знакомым со всеми правилами безопасности, важно обезопасить себя.

WOT (Web of Trust) - браузерное расширение, которое показывает, насколько можно доверять тому или иному сайту. Оно отображает репутацию каждого сайта и каждой ссылки еще до того, как вы на него зайдете. Благодаря этому вы можете уберечь себя от посещения сомнительных сайтов.

Установить расширение можно с официального сайта:

Или из магазина расширений Google:

Раньше WOT был предустановленным расширением в Яндекс.Браузере, и его можно было включить на странице с Дополнениями. Однако теперь это расширение пользователи могут установить в добровольном порядке по ссылкам выше.

Сделать это очень просто. На примере расширений Chrome это делается так. Нажимаем на кнопку «Установить »:

Во всплывающем окне подтверждения выбираем «Установить расширение »:

Как работает WOT

Для получения оценки о сайте используются такие базы данных, как Google Safebrowsing, Yandex Safebrowsing API и др. Кроме того, частью оценки является оценка пользователей WOT, которые посещали тот или иной сайт до вас. Подробнее о том, как это работает, вы можете почитать на одной из страниц официального сайта WOT: .

Использование WOT

После установки на панели инструментов появится кнопка расширения. Нажав на нее, вы сможете просмотреть, как другие пользователи оценили этот сайт по разным параметрам. Также здесь можно посмотреть репутацию и комментарии. Но вся прелесть расширения заключается в другом: оно отображает безопасность сайтов, на которые вы собираетесь перейти. Выглядит это примерно вот так:

На скриншоте всем сайтам можно доверять и посещать их, не опасаясь.

Но кроме этого вы можете встретить сайты и с другим уровнем репутации: сомнительные и опасные. Наводя на уровень репутации сайтов, вы можете ознакомиться с причиной такой оценки:

При переходе на сайт с плохой репутацией вы получите такое уведомление:

Вы всегда можете продолжить пользоваться сайтом, так как данное расширение всего лишь дает рекомендации, а не ограничивает ваши действия в сети.

WOT - довольно полезное расширение для браузера, которое позволяет узнавать о безопасности сайтов, даже не переходя на них. Таким образом вы сможете обезопасить себя от различных угроз. Кроме того, вы также можете оценивать сайты и делать интернет чуточку безопаснее для многих других пользователей

В результате расследования журналистов немецкой общественной телерадиовещательной компании NDR выяснилось, что сервис Web of Trust продавал собранные данные о своих пользователях сторонним лицам. Что такое Web of Trust? Сталкиваясь с не известным вам сайтом, вы рискуете лишиться своих личных данных, финансов либо можете случайно стать жертвой распространяемого с такого сайта вредоносного программного обеспечения. Чтобы предотвратить такую ситуацию, можно воспользоваться каким-либо существующим рейтингом сайтов, который еще до перехода к неизвестной странице сообщит вам, можно ли ей доверять.

Рейтинги Web of Trust (буквально - «сеть доверия») строятся на основании мнений множества пользователей о конкретном ресурсе (утрируя, можно объяснить следующим образом: красный рейтинг сообщает, что ресурс крайне опасен, зеленый - что ресурс полезен, желтый рейтинг - с ресурсом что-то не то, малопопулярные или новые сайты обозначаются прозрачным значком).

Простейший пример использования: вашим престарелым родителям достаточно объяснить, что заходить можно только на сайты с зеленым рейтингом, и проблем с их компьютером на вашу голову будет падать намного меньше.

Что же случилось с Web of Trust? Согласно информации от Svea Eckert, Jasmin Klofta и Jan Lukas Strozyk, журналисты через подставную компанию, якобы специализирующуюся на обработке Big Data, смогли получить доступ к данным трех миллионов посещений сайтов немецкими пользователями. Как выяснилось, данные были собраны с помощью Web of Trust. Информация была предоставлена подставной компании в качестве бесплатного пробного образца - на самом деле, данных доступно гораздо больше. По полученным материалам журналисты смогли деанонимизировать около 50 человек (в качестве раскрытых данных упоминаются заболевания, сексуальные предпочтения, информация о полицейских расследованиях и употреблении наркотиков).

Информация о продаже данных Web of Trust была опубликована на немецкоязычных ресурсах еще 1 ноября, но ответ пресс-секретаря Web of Trust появился лишь 3 ноября : компания Web of Trust пообещала принять меры для защиты своих пользователей, если случаи передачи неанонимной информации имели место быть. При этом пресс-секретарь акцентировал внимание на том, что передача анонимной информации о пользователе Web of Trust третьим лицам упомянута в пользовательском соглашении :

«The information we collect is aggregated, non-personal non-identifiable information which may be made available or gathered via the users’ use of the WOT Utilities («Non-Personal Information»). We are not aware of the identity of the user from which the Non-Personal Information is collected. We may disclose or share this information with third parties as specified below and solely if applicable».

Ради интереса обратимся к официальной русскоязычной версии соглашения (хотя она явно сокращена): «WOT Services может сохранять обезличенные статистические сведения (не содержащие никакой персональной информации)», никаких упоминаний про возможность передачи этой информации третьим лицам нету.

Скриншот

В заключение можете почитать о том, что именно передает на свои сервера плагин Web of Trust. Ее автор не рекомендует пользоваться еще и Adblock Plus с Ghostery (обвинения в адрес Ghostery нередки) и говорит, что многие расширения из каталога Google Chrome могут собирать о вас информацию.

Что же в результате? На данный момент расширения Web of Trust недоступны в каталогах Mozilla и Google Chrome, а приложение Web of Trust удалено из Play Market. Пользователям рекомендовано вручную удалить дополнения Web of Trust из своих браузеров.

P.S. Я пользовался Web of Trust последние семь лет (в процессе написания этой статьи в голове даже мелькнула мысль выставить их сайту отрицательный рейтинг и написать соответствующий комментарий).