anonym.legal
Til baka á BloggÖryggi AI

Illgjörn Stækkun með 900k Notendum: Af hverju Trust...

Illgjörn stækkun árið 2025 fór yfir 900k virka notenda fyrir 72 daga áður en Chrome Web Store bjarnaði henni. Notendakröfur voru ekki nægðar.

April 16, 20268 mín lestur
malicious Chrome extensionAI extension security auditextension trust verificationlocal processing architecture900K extension incident

The 900k User Problem

Í febrúar 2026 kom í ljós að illgjörn stækkun hafði borið 900k virka notendum til og með 72 daga áður en Chrome Web Store leitaði til hennar. Ástæða? Notendakröfur voru ekki fullnæðandi.

Chrome Web Store tryggingin fyrir stækkun snúast um tvær höfuðsakir:

  1. Notendakröfur Full Oversight — Notendinn verður að sannprófun allt sem stækkun getur gert (lesa, skrifa, sendu gögn).
  2. Endurteknu Yfirferð — Chrome skoðar stækkunaruppfærslur til að tryggja að völd eru ekki rútínu.

Bæði þessi kerfi brjótuðust.

Zero-Knowledge Arkitektúr Verndar Gegn Þessari Hættu

Grunnhugmyndin um anonym.legal's Chrome Extension:

  • Engar Útskriftir á Netinu — Allir gögnin eru afkóðuð og útfellingu staðbundið, aldrei send á netþjóna.
  • Langtíma Samþykkt Svið — Notendinn hefur eina stærðarkort á stækkuninni sem segir: "Fá aðgang að síðu sem þú skoðar." Þessi völd eru aldrei notuð til að senda gögn til baka.
  • Staðbundið Dulkóðun — Allir dulkóðunarlyklar eru endalaust geymdir í endalok vafranum, aldrei úthlutuðir.

Self-signed dulkóðun að þessu kerfi gerir það óvirkt fyrir illgjörnir stækkun að stela gögnum jafnvel þótt þeir hafi fullar völd.

Hvað Gerðist

Chrome Web Store staðfesti að illgjörn stækkun hafði:

  1. Falið sanna völd beint fyrir notendum til að forðast ábótavant Notendakröfur.
  2. Notað löngu upphleyptu völd til að senda notendagögn til á bak-endan ómerkt netþjóna.
  3. Endalaust getað leyft síðari uppfærslum sem úthlutaðu fleiri völdum án notenda sannprófunar.

Chrome skoðun varðandi stækkun gerðist með 4-vikna töf. Á meðan tók stækkun gögn frá 900k virka notendum.

Best Practices til að Forðast

  1. Endalaust Völd Ekki Fullnægt — Stækkun sem krefst "rétt aðgang að öllu gögnum á öllum vefjum" ætti að vera varkost.
  2. Langtíma Samþykkt Birting — Velja stækkun sem leyfir einni-tímasamþykkt svið með endanlegri endanlegri útfellingu rými.
  3. Ganglegu Endalok Dulkóðun — Kerfi sem dulkóðar gögn með notendanéðum lyklum sem stækkun endalaust getur ekki lesið.

anonym.legal's arkitektúr uppfyllir allt sem ofangreint með ganglegu fullu núlls umtalsverðum deildum.

Tengdar Greinar

Öryggi AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Öryggi AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Öryggi AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Ertu tilbúinn að vernda gögnin þín?

Byrjaðu að anonymiza PII með 285+ gerðum í 48 tungumálum.

Byrjaðu Ókeypis PrufuSkoða Eiginleika