Nieuws

Google en Opera verwijderen browseruitbreiding Web of Trust

zondag 6 november 2016, 07:35 door Redactie, 6 reacties

In navolging van Mozilla hebben ook Google en Opera besloten om de browseruitbreiding Web of Trust (WOT) uit de officiële stores voor Google- en Opera-uitbreidingen te verwijderen. Web of Trust is een extensie die gebruikers waarschuwt of een website veilig is of niet.

De Duitse televisie onthulde eerder deze week dat Web of Trust geanonimiseerde surfgegevens aan derde partijen doorverkoopt. De gegevens zijn echter eenvoudig naar de originele gebruiker te herleiden. Het nieuws zorgde voor een golf van kritiek, waardoor zowel Google, Mozilla als Opera nu hebben ingegrepen. In het geval van Firefox hadden meer dan 870.000 gebruikers Web of Trust geïnstalleerd. In het geval van Chrome ging het om ruim 1,4 miljoen gebruikers. Opera houdt alleen het aantal downloads van een uitbreiding bij. Voor Web of Trust ging het om meer dan 2,8 miljoen downloads, wat aantoont dat het een zeer populaire browseruitbreiding is.

De ontwikkelaars van Web of Trust hebben na hun eerdere reactie op de onthullingen, waarin ze aangaven een onderzoek te zullen instellen, niet meer op het verwijderen van hun uitbreiding in de verschillende stores gereageerd of wat ze gaan doen om het vertrouwen in Web of Trust te herstellen.

Algoritme raadt wachtwoord 73% doorsnee internetgebruikers

Onduidelijkheid over persoonlijke data op Note 7-toestellen

Reacties (6)

06-11-2016, 11:18 door Anoniem

Hoe dom van WOT dat ze geen openheid van zaken geeft wat betreft deze aantijgingen. Nieuwe klandizie via de officiële add-on stores kunnen ze nu wel vergeten, daar zullen de aandeelhouders neem ik aan niet blij mee zijn.

Ze hadden wellicht nog wat kunnen redden als ze sneller hadden gereageerd, maar nu zie ik het somber in voor ze.

06-11-2016, 16:21 door Briolet

In de officiële extensie site voor Safari staat WOT nog steeds.

06-11-2016, 23:15 door Anoniem

Volgens de update als vermeld op hxxps://bugzilla.mozilla.org/show_bug.cgi?id=1314332#c6
(juist voor het moment dat WOT closed-source!! werd)
werd de add-on aangepast om iedere URL te loggen,
en werd er geprobeerd elke URL die bezocht werd te obfusceren
door twee keer Base64 codering toe te passen * . (bron WOT forum).

Ja, anoniem van 11:18, ze kwamen waarschijnlijk te laat met een gebruikersupdate,
om de grond van aantijgingen weg te moffelen.
Dat waarschijnlijk omdat hun Duits niet zo goed was en Engelstalig nieuws nog steeds in het begin niet verscheen.

Verhelderend in het geheel is eens te kijken naar de broncode hier:
https://github.com/mywot/firefox-xul en iets wat in 2015 verscheen:

- https://github.com/mywot/firefox-xul/commits/master/content/stats.js

De dubbel base64 code (zonder encryptie) kan vanaf de server kant worden gedecodeerd,
en er wordt hier met oude code gewerkt * en data in de URLs zijn niet-geanonimiseerd,
webpagina adressen en e-mail adressen worden zo gelijk gelinkt. (bron: WOT-forum).

Kwalijke zaak, maar zoals het er nu uitziet waarschijnlijk "mosterd na de maaltijd".

07-11-2016, 07:54 door Anoniem

WOT heeft inmiddels gereageerd:
https://www.mywot.com/en/forum/70818-to-the-wot-community

Dear users,

Thank you for your patience. We apologize for our delayed public reply and any anxiety this incident has caused. It has taken us some time to understand what has happened and how best to ensure we protect our users.

We take our obligations to you very seriously. While we deployed great effort to remove any data that could be used to identify individual users, it appears that in some cases such identification remained possible, albeit for what may be a very small number of WOT users.

Of course, if the data allows the identification of even a small number of WOT users, we consider that unacceptable, and will be taking immediate measures to address this matter urgently as part of a full security assessment and review.

Additionally, after Mozilla notified us that they were removing the WOT add-on from their store (pending responses to a set of questions / proposed changes they sent to us), we voluntarily removed the WOT add-on from all other platforms, including the Chrome store, in order to resolve this matter properly and comprehensively.

To that end, we are taking the following steps:

Reviewing our privacy policy to determine which changes need to be made in order to enhance and ensure that our users privacy rights are properly addressed.
For the user browsing data used to enable WOT’s website reputation service, we intend to provide users the ability to opt-out from having such data saved in our database or shared. This opt-out will be available from the settings menu, as we want to provide each user with a clear choice at all times.
For people who agree to let us use their browsing data in order to support WOT, we will implement a complete overhaul of our data ‘cleaning’ process, to optimize our data anonymization and aggregation objectives to minimize any risk of exposure for our users.
We will spend the coming weeks making the changes to WOT which will ensure we are back on the right track. You, our community of users are the real power behind WOT and we will continue serving you as such.

Yours,

--- MyWOT Team

07-11-2016, 09:24 door Anoniem

<quote>You, our community of users are the real power behind WOT and we will continue serving you as such.</quote>

https://en.wikipedia.org/wiki/To_Serve_Man_(The_Twilight_Zone)

07-11-2016, 11:45 door [Account Verwijderd] - Bijgewerkt: 07-11-2016, 11:46

Door Anoniem: WOT heeft inmiddels gereageerd:
https://www.mywot.com/en/forum/70818-to-the-wot-community

Dear users,...knip...For the user browsing data used to enable WOT’s website reputation service, we intend to provide users the ability to opt-out from having such data saved in our database or shared....knip...
Yours,

--- MyWOT Team

"we intend" - ...hebben wij het voornemen...
Dus zeker weten of ze dit gaan doen is.... nog niet zeker.

En dan Opt out? Als je de Plug-in hebt geactiveerd hebben zij je data dus al te pakken, of je moet zo bijdehand zijn eerst de modem uit te zetten o.i.d.
Dat is van hetzelfde laken en pak als bijvoorbeeld een proefpakket afslankmiddelen en dat JIJ moet reageren om van verdere leveringen af te zien. (was een poos terug weer eens berucht)

Conclusie: Tot nu hebben ze nog geen bal ondernomen om het boetekleed ècht aan te trekken en resoluut maatregelen te treffen die hun datagraai en doorverkoop praktijken stoppen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer