){kind=small}
)
Dezenas de extensões do navegador Chrome coletam dados pessoais de usuários e os vendem para terceiros – e a prática é completamente legal. O problema é que quase ninguém lê as políticas de privacidade em que essa informação está descrita.
A investigação é da empresa de segurança LayerX Security, que identificou 82 extensões na Chrome Web Store que reservam explicitamente o direito de comercializar dados dos usuários. Juntas, elas atingem pelo menos 6,5 milhões de pessoas.
Nossos vídeos em destaque
O que está sendo vendido
As extensões analisadas vão de bloqueadores de anúncios a ferramentas para assistir séries, passando por ajudantes de candidatura a emprego e plataformas de inteligência de vendas. O que elas têm em comum é a coleta sistemática de comportamento de navegação.
)
Depois, a coleta é repassada a empresas de marketing, pesquisa de mercado e análise de dados. E não se limita a dados genéricos. Algumas extensões registram o histórico de navegação completo, o tempo gasto em cada página, preferências de consumo de conteúdo e até informações inferidas, como condição de saúde, orientação sexual e crenças religiosas. Essas inferências são feitas a partir das URLs visitadas pelo usuário.
Um sistema de audiometria escondido no navegador
O caso mais extenso encontrado pelos pesquisadores envolve uma rede de 24 extensões voltadas para plataformas de streaming, todas publicadas pela empresa HideApp LLC sob a marca "dogooodapp". Elas usam o prefixo QVI, abreviação de Quality Viewership Initiative.
As extensões cobrem praticamente todos os serviços de streaming, incluindo Netflix, Hulu, Disney+, Amazon Prime Video, HBO Max, Peacock, Paramount+, Tubi, Apple TV+, Crunchyroll e outros. Vinte e uma delas ainda estão ativas na Chrome Web Store, com cerca de 800 mil instalações no total.
)
As ferramentas coletam histórico de visualização, preferências de conteúdo, status de assinatura, itens baixados e comportamento de streaming. Quando o usuário não informa dados demográficos como idade e gênero, a extensão usa o endereço de e-mail para cruzar com bases de dados externas e preencher as lacunas.
Os dados são vendidos para criadores de conteúdo, estúdios, plataformas de streaming, empresas de pesquisa de mídia e agências de marketing. Na prática, trata-se de um sistema distribuído de medição de audiência funcionando dentro dos navegadores, sem que os usuários saibam que participam dele.
Bloqueadores de anúncios que coletam dados para anunciantes
Entre as descobertas mais contraditórias estão oito bloqueadores de anúncios que vendem dados de navegação. Ferramentas instaladas justamente para impedir o rastreamento acabam fazendo exatamente isso.
)
O Stands AdBlocker, com 3 milhões de usuários, vende dados de navegação para "fins de análise de mercado". O Poper Blocker, com 2 milhões, vai além e divulga a venda de identificadores, histórico de atividade, perfis comportamentais e dados sensíveis inferidos.
O All Block, voltado ao YouTube e com 500 mil usuários, comercializa dados anonimizados "para fins analíticos e comerciais". Juntos, os bloqueadores identificados somam mais de 5,5 milhões de usuários.
Por que isso é legal
A maioria das políticas de privacidade não afirma diretamente que os dados são vendidos. Elas usam formulações como "podemos vender ou compartilhar suas informações pessoais com terceiros" ou "essas informações podem ser vendidas a parceiros comerciais". É uma construção jurídica que transfere ao usuário a responsabilidade de ter lido e aceitado os termos.
)
A LayerX analisou cerca de 9 mil extensões com URLs de política de privacidade e conseguiu processar 6.666 delas. Mas 71% de todas as extensões disponíveis na Chrome Web Store nem sequer publicam uma política de privacidade.
Isso significa que mais de 73% dos usuários têm ao menos uma extensão instalada sem qualquer transparência sobre o que acontece com seus dados.
O risco corporativo
Além dos usuários comuns, a investigação aponta um risco específico para empresas. Das 82 extensões confirmadas, 29 são ferramentas de inteligência de vendas voltadas ao mercado corporativo.
)
Elas ficam instaladas em computadores de funcionários e podem capturar atividade interna, como acessos a sistemas da empresa, plataformas de gestão e pesquisas estratégicas. Esse comportamento alimenta bases de dados comerciais que qualquer comprador pode acessar.
Como se proteger
Para usuários comuns, a recomendação é desinstalar extensões que oferecem pouco valor prático e evitar ferramentas que não estejam listadas nos sites oficiais dos serviços que você usa. Extensões QVI podem ser consultadas diretamente na Chrome Web Store pelo nome da iniciativa.
Para empresas, o caminho passa por mapear quais extensões estão instaladas nos navegadores corporativos, revisar as políticas de privacidade dessas ferramentas e adotar políticas de gerenciamento centralizado de extensões. Os principais navegadores já oferecem recursos para isso, como o ExtensionSettings do Chrome e as políticas de grupo do Edge.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
