- Investigação da LayerX Security identificou 82 extensões da Chrome Web Store que coletam e vendem dados de navegação de pelo menos 6,5 milhões de usuários.
- As extensões envolvem desde bloqueadores de anúncios até ferramentas de streaming e de recrutamento, com coleta regular de comportamento de navegação.
- Dados vendidos vão para empresas de marketing, pesquisa de mercado e análise de dados, incluindo itens sensíveis inferidos a partir das URLs visitadas.
- O caso mais extenso envolve 24 extensões da marca “dogooodapp” (Quality Viewership Initiative), cobrindo serviços de streaming como Netflix, Disney+, HBO Max e outros; várias ainda estão ativas.
- Recomendações: desinstalar extensões de pouco valor, revisar políticas de privacidade e, em empresas, mapear extensões instaladas e aplicar gerência centralizada de extensões.
Ao todo, 82 extensões da Chrome Web Store foram identificadas pela LayerX Security como coletoras e vendedoras de dados de navegação de ao menos 6,5 milhões de usuários. A pesquisa aponta que a prática ocorre de forma legal apenas por meio de políticas de privacidade que costumam ser pouco lidas pelos usuários.
Entre as extensões analisadas estão bloqueadores de anúncios, ferramentas para assistir séries, assistentes de candidatura a empregos e plataformas de inteligência de vendas. Não se trata de dados genéricos: o histórico de navegação, tempo de visita e até informações inferidas, como orientações e crenças, podem ser compartilhados com terceiros.
A investigação mostra ainda que apenas 28,6% das extensões da loja publicam políticas de privacidade. Entre os usuários, 73,1% têm ao menos uma extensão instalada sem qualquer documento que explique o uso dos dados. O estudo envolve a coleta de dados para marketing, pesquisa de mercado e análise.
O que está sendo vendido
A prática envolve o repasse de dados a empresas de publicidade, plataformas de streaming e agências de dados. Um sistema de medição de audiência funciona dentro dos navegadores, sem que o usuário tenha ciência da participação.
Entre as descobertas mais notáveis estão oito bloqueadores de anúncios que vendem dados de navegação para fins de análise de mercado. Ferramentas como o Stands AdBlocker acumulam milhões de usuários e constam na lista de vendedores.
Casos específicos e alcance
O caso mais extenso envolve uma rede de 24 extensões para streaming, publicadas pela HideApp LLC sob a marca dogooodapp, com o prefixo QVI (Quality Viewership Initiative). Vinte e uma dessas extensões ainda estão ativas, somando cerca de 800 mil instalações.
O conjunto de extensões verifica histórico de visualização, preferências de conteúdo, status de assinaturas e itens baixados. Quando faltam dados demográficos, o sistema utiliza o e-mail para cruzar bases externas.
Os dados são comercializados para criadores de conteúdo, estúdios e agências de marketing. O resultado é um ecossistema de audiência medido de forma distribuída, dentro dos navegadores, sem transparência para o usuário.
Riscos para empresas e medidas de proteção
Entre as 82 extensões confirmadas, 29 são ferramentas de inteligência de vendas voltadas ao mercado corporativo. Funcionam em computadores de funcionários, capturando atividades em sistemas e plataformas internas.
Para usuários, a recomendação é desinstalar extensões com valor duvidoso e evitar aquelas ausentes de sites oficiais. Empresas devem mapear extensões instaladas, revisar políticas de privacidade e adotar gerenciamento centralizado de extensões, com recursos já existentes nos navegadores.
Entre na conversa da comunidade