По данным безопасников из Koi Security, бесплатное браузерное расширение Urban VPN Proxy с лета начало собирать данные о переписке пользователей с популярными чат-ботами — не логи или обезличенную статистику, а именно содержимое диалогов.
Эксперты узнали, что сведения аккумулируются централизованно, а после передаются третьим сторонам на коммерческой основе. Причём продажа такого рода информации происходит в рамках бизнес-модели компании-разработчика.
Лицензионное соглашение сервиса гласит: данные проходят анонимизацию. Однако документ не гарантирует полного их удаления. Это значит, что по уникальным формулировкам покупатель может понять контекст переписки и получить доступ к маркерам, потенциально позволяющим идентифицировать пользователя.
В Koi Security увидели аналогичный паттерн и в случае с расширением 1ClickVPN Proxy (суммарно оба решения установили уже около 8 млн человек). ИБ-специалисты подчеркнули системный характер проблемы: бесплатные VPN-сервисы часто монетизируются за счёт чужих данных, а рост популярности чат-ботов превратил переписку с машиной в новый ценный киберактив — теперь под угрозой находятся корпоративные тайны, чувствительная медицинская информация и подробности личной жизни.
