8 ноября 2016 в 22:08

Сервисы Web of Trust оказались скомпрометированы

В результате расследования журналистов немецкой общественной телерадиовещательной компании NDR выяснилось, что сервис Web of Trust продавал собранные данные о своих пользователях сторонним лицам. Что такое Web of Trust? Сталкиваясь с не известным вам сайтом, вы рискуете лишиться своих личных данных, финансов либо можете случайно стать жертвой распространяемого с такого сайта вредоносного программного обеспечения. Чтобы предотвратить такую ситуацию, можно воспользоваться каким-либо существующим рейтингом сайтов, который еще до перехода к неизвестной странице сообщит вам, можно ли ей доверять.

Рейтинги Web of Trust (буквально — «сеть доверия») строятся на основании мнений множества пользователей о конкретном ресурсе (утрируя, можно объяснить следующим образом: красный рейтинг сообщает, что ресурс крайне опасен, зеленый — что ресурс полезен, желтый рейтинг — с ресурсом что-то не то, малопопулярные или новые сайты обозначаются прозрачным значком).

Простейший пример использования: вашим престарелым родителям достаточно объяснить, что заходить можно только на сайты с зеленым рейтингом, и проблем с их компьютером на вашу голову будет падать намного меньше.

Что же случилось с Web of Trust? Согласно информации от Svea Eckert, Jasmin Klofta и Jan Lukas Strozyk, журналисты через подставную компанию, якобы специализирующуюся на обработке Big Data, смогли получить доступ к данным трех миллионов посещений сайтов немецкими пользователями. Как выяснилось, данные были собраны с помощью Web of Trust. Информация была предоставлена подставной компании в качестве бесплатного пробного образца — на самом деле, данных доступно гораздо больше. По полученным материалам журналисты смогли деанонимизировать около 50 человек (в качестве раскрытых данных упоминаются заболевания, сексуальные предпочтения, информация о полицейских расследованиях и употреблении наркотиков).

Информация о продаже данных Web of Trust была опубликована на немецкоязычных ресурсах еще 1 ноября, но ответ пресс-секретаря Web of Trust появился лишь 3 ноября: компания Web of Trust пообещала принять меры для защиты своих пользователей, если случаи передачи неанонимной информации имели место быть. При этом пресс-секретарь акцентировал внимание на том, что передача анонимной информации о пользователе Web of Trust третьим лицам упомянута в пользовательском соглашении:

«The information we collect is aggregated, non-personal non-identifiable information which may be made available or gathered via the users’ use of the WOT Utilities («Non-Personal Information»). We are not aware of the identity of the user from which the Non-Personal Information is collected. We may disclose or share this information with third parties as specified below and solely if applicable».

Ради интереса обратимся к официальной русскоязычной версии соглашения (хотя она явно сокращена): «WOT Services может сохранять обезличенные статистические сведения (не содержащие никакой персональной информации)», никаких упоминаний про возможность передачи этой информации третьим лицам нету.

Скриншот


В заключение можете почитать статью на немецком о том, что именно передает на свои сервера плагин Web of Trust. Ее автор не рекомендует пользоваться еще и Adblock Plus с Ghostery (обвинения в адрес Ghostery нередки) и говорит, что многие расширения из каталога Google Chrome могут собирать о вас информацию.

Что же в результате? На данный момент расширения Web of Trust недоступны в каталогах Mozilla и Google Chrome, а приложение Web of Trust удалено из Play Market. Пользователям рекомендовано вручную удалить дополнения Web of Trust из своих браузеров.

Update: при анализе дополнения в его коде был обнаружен бэкдор, позволяющий загрузить выполняющийся с правами дополнения вредоносный скрипт.

P.S. Я пользовался Web of Trust последние семь лет (в процессе написания этой статьи в голове даже мелькнула мысль выставить их сайту отрицательный рейтинг и написать соответствующий комментарий).

В качестве альтернативы можно использовать аналогичные сервисы от производителей антивирусного ПО, к примеру, McAfee, Norton или Avast (сам пока не пользовался, рекомендовать ничего не могу). В комментариях можете поделиться своим опытом использования расширений с рейтингом веб-сайтов.
@kedobear
карма
36,2
рейтинг 0,0
Пользователь
Самое читаемое

Комментарии (51)

  • +2
    Очень жаль… ИМХО самый удобный сервис с рейтингами сайтов…
    • +1
      А по-моему, изначально хорошая задумка стала использоваться не по назначению. Например, сайт наших клиентов, которые продавали смазочные материалы (где ничего, кроме этих самых материалов и не было), получил негативный рейтинг с кучей какашек. Ну просто потому, что кто-то из конкурентов организовал флеш-моб по набивке такого рейтинга коллегам по рынку.
  • +6
    Trust No One!
    • 0

      Никому нельзя доверять, даже собственной заднице.
      ©

  • 0
    А подскажите аналог Adblock Plus, которому можно доверять? Ghostery заменил на NoScript+RequestPolicy.
    • 0
      Сделать вручную скрипт, который выгружает выбранные вами подписки и формирует файл hosts.
      • 0
        Не поможет, если реклама подгружается с того же домена, что и полезный контент.
    • 0
      host файл на основе ruadlist+easylist https://forums.lanik.us/viewtopic.php?f=102&t=32524
    • +4
      uBlock/uBlock Origin. Версию для Firefox автор сейчас активно переписывает на новый API дополнений.

      Рекомендуемый выше способ с hosts не до конца аналог, поскольку он не может применять косметические фильтры, скрывая рекламу, загрузку которой не удаётся заблокировать (например, когда реклама грузится с того же домена, что и контент — заблокировать домен попросту не получится).

      Впрочем, если такой вариант вас таки устраивает, можно резать обращения к рекламным сетям прямо на роутере (если не злоупотреблять и не включать сразу все подписки, что может поставить на колени устройства с небольшим объёмом памяти и слабыми процессорами).
    • +3

      Посмотрите на uBlock Origin и uMatrix.


      Я некоторое время назад отключил Adblock Plus, Cookie Monster, RequestPolicy Continued, а в NoScript выключил блокирование JavaScript но оставил его ради остальных защит. Вместо всего этого поставил uBlock Origin и uMatrix (настройки что блокировать/разрешать, немного повозившись, импортировал из NoScript и RequestPolicy Continued, параллельно подчистив их ручками, благо формат импорта текстовый и наглядный). В результате глюки прошли (RequestPolicy Continued периодически что-то блокировал, но увидеть что именно и разблокировать через него было нельзя, лечилось только перезапуском браузера), настраивать что и как блокировать стало заметно проще. Ещё один плюс — прошли заметные тормоза на некоторых сайтах, которые я раньше с работой этих плагинов не связывал.


      Единственный недостаток — пришлось перечитать две вики по обоим плагинам плюс ещё одну по их предку чтобы понять чем они отличаются, надо ли ставить оба сразу, и как ими управлять.


      P.S. Ещё до кучи я тогда же выкинул RefControl — его эти плагины не заменяют, но, по-моему, от него было больше проблем (особенно при онлайн-платежах), чем пользы.

      • 0
        Спасибо за uMatrix
      • 0
        Ещё до кучи я тогда же выкинул RefControl

        Отправка реферрера настраивается штатными средствами Firfefox. Можно даже настроить отправку его между поддоменами одного сайта, и блокировать отправку между разными доменами.

        RefControl нужен лишь тогда, когда хочется контролировать этот процесс для конкретного домена. Например, прямые ссылки на драйверы AMD не работают, если не подделывать реферрер, имитируя переход к закачке с их сайта.
    • 0
    • 0
    • 0
      А что не так с ghostery?
  • 0
    Очень трудно (невозможно?) автоматически разделить «анонимную» и «неанонимную» информацию. Например, суммарное количество посещений страницы — это анонимная информация? Нет, если страница была специально сгенерирована так, что ссылку на неё мог получить лишь конкретный человек — мы получаем информацию, открывал ли конкретный человек полученную ссылку.
    Или список того, куда народ переходит с вашего сайта. Там могут быть профили соцсетей, и вот вы уже можете предположить личности своих клиентов.
    Так можно долго придумывать. Получается, анонимной информации как бы и не бывает. А такие организации, как обсуждаемая, только на торговле анонимной информацией и живут. Так что верните расширение на место, а то опять начали с наименее виноватого.
  • +7
    Противнейший сервис.
    Выбрал идеально подходящий домен для сайта, сделал сайт. Через какое то время получил негатив от пользователей WOT. Итог расследований: с домена шел спам 5 лет назад, рейтинг на WOT серьезно подмочен. При этом сейчас ясен фиг уже давно удалено из всех блок-листов и отзывы неактуальны. Заявка на переоценку рейтинга никому неинтересна. Начав самостоятельно с помощью людей ставить себе хорошие оценки, есть риск быть обвиненным в накрутке и рейтинг еще больше загнобят из принципа.

    Почитав темы по переоценке на форуме, понял что сообщество в основном занимается самоутверждением, за счет владельцев сайтов
    • +3
      Кстати, раньше видел в Рунете жалобы от владельцев сайтов на закупку голосов WoT, сливающих либо поднимающих рейтинги (пруфов, вроде бы, не было).
      • 0
        Вконтакте предлагали накрутки от 1000 голосов в конце первой десятки 21 века…
    • 0

      Был в аналогичной вашей ситуации. Оценки себе ставить бессмысленно, если вас оценил "авторитетный пользователь". Авторитетный, не смотря на множество негативных отзывов о нем. Просьбы о перепроверке конечно никто не читает.

  • 0
    Пользовался много лет, может быть даже больше 10… Можно сказать, что WOT иногда помогал, но это редкие случаи, а так, в основном, сам ставил оценки понравившимся сайтам. Минуса ставил очень редко, обычно сайтам с откровенным рерайтом, мусорщикам. В итоге решил лучше удалить.
  • +2
    Очень, очень большая подстава. Ставил WOT всем, далеким от IT: родители, супруга, друзья, друзья-друзей и т.д. и т.п. Выручало невероятно. Самое ценное, что многие на этом дополнении учились: попав на фишинговые сайты (особенно клоны легальных сайтов) люди начинали разбираться, почему так. В итоге WOT многих моих знакомых научил внимательно смотреть на доменное имя, протокол, проверять сертификаты. А первоначальным сигналом к оному служил тот самый красный значок. Да и просто нестрашно было оставить родителей бороздить с ним просторы интернета: если что, есть хороший шанс, что WOT их предупредит. Как и автор статьи я теперь в поисках достойной замены.
  • +5
    Прямо чувствую себя распространителем вредоносного по. Лично поставил минимум на 500 машин (
    • 0
      Аналогично… Чем бы заменить? Аваст что-то все помечает безопасным…
  • 0
    то что такие обезличенные денные довольно легко превращаются в личные это факт, и от такого никуда не деться. Не передавать URL на сервис понятно, что не выйдет. Сам пользуюсь AdGuard, а он использует Web Of Trust. У родителей Web Of Trust уже пару лет бережет их от походов куда не следует. Так как я от обычного среднестатистического анонимуса в сети интернет не отличаюсь, и медийности во мне чуть меньше чем ноль волноваться не о чем. А заодно и отказываться от использования сервиса не стоит.
    P.S. Хотя конечно хотелось бы чтобы WoT свои статистические данные никуда не сливала, но такое возможно только в идеальном мире.
  • +1
    А можно поподробнее, что не так с ghostery?
    • +2
      Прошу прощения, не та ссылка на критику Ghostery в статье.
      https://de.wikipedia.org/wiki/Ghostery#Kritik
      https://forum.mozilla-russia.org/viewtopic.php?id=58209

      Вкратце, Ghostery обвиняют в сборе информации о пользователях для показа им таргетированной рекламы (вроде бы, это решается отключением GhostRank).
      • 0
        Понял. Короче ghostery просто заменяется uBlock Origin с доп подписками.
        А проблема у всех одна.

        Спасибо.
  • 0
    При том там были судьи, полицейские, адвокаты, политики итд. И этой инфой их можно было бы шантажировать.

    Альтернативы для ABP
  • 0
    Все сейчас собирают данные о пользователях, все обещают полную анонимность, все информацию о пользователях анализируют и все подвержены риску компроментации данных — это должен понимать каждый пользователь. Сегодня данные слил один из сотрудников WOT, завтра такое же может учудить обиженный сотрудник яндекса, гугла, хабра и т.д.

    На самом деле, критичной информацией являются только реквизиты платежных систем и пароли, все остальное ерунда. Ну слил ресурс всем, что ты куришь траву и смотришь порно — будто раньше никто этого о тебе не знал.
    • 0
      Собранные утекшие данные могут использовать злоумышленники в виде социальной инженерии.
  • 0
    Никогда не любил их продукт, по сути от олицетворял власть тупого большинства. Куча леммингов всегда накручивала своим сайтам «зелёный» рейтинг, даже несмотря на его негативную направленность, и топила конкурентов, вследствие чего оценка зачастую не передавала истинное положение вещей, вызывая чувство ложной уверенности.
    • +2
      Для меня удобство WoT выражалось в основном в отсечении некорректной поисковой выдачи: сразу заметны подложные сайты с красным либо «прозрачным» рейтингом, на которых ключевые слова размещаются в шизофазическом смешивании для обеспечения перехода на них из поисковых систем.
  • 0
    Firefox, кстати, говорит, что WOT ест сравнительно много ресурсов: обычно находится в топе на странице about:performance
  • 0
    Есть ли какие-то адекватные альтернативы конкретно WOT?
  • 0
    А что не так с Adblock Plus? (Можно коротко, чтобы знать в какую сторону гуглить.)
    • +1
      Выше предложили опенсорсный аналог — uBlock Origin.
      • 0
        Ну, наличие аналога — не причина менять одно на другое. Особенно на 100+ машин, как в моем случае. Есть пруфы некорректной работы или чего подобного?
        • +1
          Я вот после этой статьи ради интереса его попробовал — субъективно стало меньше подвисать, а также кушается меньше памяти. Собственно основная заявленная конкреентная фича uBlock — высокая производительность по сравнению с ABP.
      • +1
        Adblock Plus тоже вполне опенсорсный и меня несколько изумляет повсеместный пиар uBlock, намекающий на якобы не опенсорность ABP.
    • +1
      В то время, как я отказался от него в пользу uBlock Origin, Adblock Plus был на первом месте по потреблению ресурсов. Где-то попадалась демо-страница, на которой разница в производительности была отчётливо видна (AdBlock Plus вешает браузер, uBlock с теми же подписками справляется), что и сподвигло меня сменить расширение.
  • 0
    Есть новости?
    • 0
      Я пока отказался от использования любых подобных сервисов.
    • 0
      Люди пишут, что Firefox вроде бы стал отключать дополнение WoT и предупреждать о его небезопасности:
      https://www.mywot.com/en/forum/73010-please-fix-wot-for-firefox
      https://www.grahamcluley.com/firefox-flags-web-of-trust-add-on-as-suspicious-blocks-by-default/

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.