Conversas de IA de 8 milhões de usuários foram vendidas para fins lucrativos por uma extensão de ‘privacidade’

 (koi.ai)
2 pontos por GN⁺ 2025-12-17 | 1 comentários | Compartilhar no WhatsApp
  • Foi confirmado que 8 extensões de navegador, incluindo Urban VPN Proxy, coletavam e vendiam o conteúdo de conversas em plataformas de IA
  • Essas extensões coletam automaticamente dados de conversas de 10 serviços de IA, como ChatGPT, Claude, Gemini e Copilot, e não há opção para o usuário desativar isso
  • A coleta de dados é executada continuamente em segundo plano, independentemente da função de VPN, e todos os prompts, respostas, timestamps e informações de sessão são transmitidos
  • A operadora Urban Cyber Security Inc. e sua afiliada BiScience vendem esses dados a terceiros para análise de marketing
  • Extensões que passaram pela verificação do selo ‘Featured’ da Google e da Microsoft ficaram disponíveis por meses, expondo falhas nos sistemas de proteção ao usuário

Como a descoberta aconteceu

  • O Wings AI Risk Engine da Koi investigou extensões de navegador que poderiam enviar dados de conversas de IA para fora e, ao contrário do esperado, encontrou o Urban VPN Proxy, com uma base massiva de usuários, entre os principais resultados
  • O Urban VPN Proxy é uma extensão gratuita de VPN que afirma proteger a privacidade, com mais de 6 milhões de usuários, nota 4,7 e o selo ‘Featured’ da Google
  • A investigação mostrou que a extensão foi distribuída com a função de espionagem de conversas em plataformas de IA ativada por padrão

Método de coleta

  • A extensão continua coletando dados independentemente de a VPN estar conectada ou não
  • Quando o usuário acessa sites de IA como ChatGPT, Claude e Gemini, ela injeta scripts dedicados (chatgpt.js, claude.js etc.)
  • Esses scripts redefinem fetch() e XMLHttpRequest para interceptar todas as requisições e respostas de rede e extrair prompts, respostas, ID da conversa e timestamps
  • Os dados extraídos são enviados ao script de conteúdo por meio de window.postMessage e depois o worker em segundo plano os transmite para os servidores da Urban VPN (analytics.urban-vpn.com etc.)
  • Os itens coletados incluem todas as entradas e saídas, metadados de sessão e informações sobre o modelo usado

Linha do tempo das versões

  • Versões anteriores à 5.5.0 não tinham a função de coleta de IA
  • A partir da versão 5.5.0, distribuída em 9 de julho de 2025, a coleta de conversas de IA passou a vir ativada por padrão
  • Depois disso, por meio de atualizações automáticas, usuários existentes também receberam o código de coleta de dados sem consentimento separado
  • Usuários que utilizaram serviços de IA com o Urban VPN instalado após julho de 2025 devem presumir que o conteúdo das conversas foi armazenado nos servidores e compartilhado com terceiros

A realidade do recurso de ‘proteção de IA’

  • A descrição da extensão afirma que o “recurso de proteção de IA” evita vazamento de informações pessoais e alerta sobre links perigosos
  • Porém, a análise do código mostrou que a função de alerta e a função de coleta de dados operam separadamente, e a coleta continua mesmo se o alerta for desativado
  • A extensão alerta o usuário sobre compartilhar e-mail e telefone, enquanto ao mesmo tempo envia esses dados para os servidores da Urban VPN
  • Em outras palavras, foi identificada uma estrutura de extração de dados disfarçada de proteção

Disseminação do mesmo código

  • O mesmo código de coleta de IA também foi encontrado em outras 7 extensões
    • Chrome: Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker
    • Edge: as mesmas 4 extensões
  • No total, mais de 8 milhões de usuários foram afetados
  • Essas extensões se apresentam como VPN, bloqueador de anúncios e assistente de segurança, entre categorias diferentes, mas compartilham um backend de vigilância em comum
  • A maioria tinha o selo ‘Featured’ nas lojas da Google e da Microsoft, sendo distribuídas já com a confiança dos usuários

Operadora e fluxo de dados

  • O Urban VPN é operado pela Urban Cyber Security Inc., que mantém parceria com a corretora de dados BiScience (B.I Science Ltd.)
  • A BiScience já havia chamado atenção de pesquisadores de segurança no passado por coleta e revenda de dados de clickstream
  • A BiScience comercializa os dados coletados por meio de produtos como AdClarity e Clickstream OS
  • Este caso representa uma expansão da coleta de histórico de navegação para a coleta de conversas de IA
  • A política de privacidade afirma que “os dados coletados de navegação na web são compartilhados com a BiScience e usados para insights comerciais”

Problemas na notificação ao usuário

  • O pop-up de consentimento exibido na instalação menciona “processamento de comunicação ChatAI”, mas não explica claramente o objetivo da coleta de conversas de IA
  • A política de privacidade inclui uma frase dizendo que “dados de entrada e saída de IA são divulgados para fins de análise de marketing”
  • Já a descrição na Chrome Web Store afirma que “os dados não são vendidos a terceiros”, fornecendo informações contraditórias
  • Quem instalou antes de julho de 2025 não viu um novo pop-up de consentimento, e a função de coleta foi adicionada por atualização automática
  • O usuário não tem a opção de desativar apenas a coleta de IA; mesmo desligando a VPN ou o recurso de proteção, a coleta continua

Problema na verificação da Google

  • O Urban VPN Proxy possui o selo ‘Featured’ da Chrome Web Store da Google
  • A Google explica que esse selo é dado a extensões que “atendem às melhores práticas técnicas e a altos padrões de experiência do usuário”
  • Ou seja, o código de coleta de conversas de IA estava incluído mesmo após passar pela revisão manual da Google
  • As políticas da Chrome Web Store proíbem o envio de dados do usuário para corretores de dados ou plataformas de publicidade, mas a BiScience se define como corretora de dados
  • Apesar disso, a extensão ainda permanecia publicada na loja

Conclusão e recomendações

  • Extensões de navegador exigem alto nível de confiança devido a permissões amplas e atualizações automáticas
  • Este caso mostra que dados sensíveis de conversas de IA de 8 milhões de pessoas foram coletados e vendidos sob o pretexto de ‘segurança’
  • O caso é apontado como um exemplo em que os sistemas de verificação da Google e da Microsoft contribuíram mais para uma falsa sensação de confiança do que para a proteção do usuário
  • Os usuários devem remover imediatamente o Urban VPN e extensões relacionadas e considerar a possibilidade de que conversas de IA realizadas após julho de 2025 tenham sido compartilhadas com terceiros

IOC(Indicator of Compromise)

  • Chrome: Urban VPN Proxy (eppiocemhmnlbhjplcgkofciiegomcon), Urban Browser Guard (almalgbpmcfpdaopimbdchdliminoign), Urban Ad Blocker (feflcgofneboehfdeebcfglbodaceghj), 1ClickVPN Proxy (pphgdbgldlmicfdkhondlafkiomnelnk)
  • Edge: Urban VPN Proxy (nimlmejbmnecnaghgmbahmbaddhjbecg), Urban Browser Guard (jckkfbfmofganecnnpfndfjifnimpcel), Urban Ad Blocker (gcogpdjkkamgkakkjgeefgpcheonclca), 1ClickVPN Proxy (deopfbighgnpgfmhjeccdifdmhcjckoe)

Leituras relacionadas

1 comentários

 
GN⁺ 2025-12-17
Comentários do Hacker News

  • Eu costumo usar apenas extensões recomendadas pela Mozilla
    Esse programa inclui apenas extensões cujo código foi revisado diretamente por especialistas em segurança da Mozilla
    O Google não gosta de contratar pessoas, mas esta é uma área em que olhos humanos, e não varredura automática, são absolutamente necessários
    Mozilla Recommended Extensions Program

    • Profissionais de TI ou usuários avançados podem tomar esse tipo de medida, mas usuários comuns são facilmente enganados por descrições chamativas de recursos e acabam instalando extensões maliciosas
      Ataques de engenharia social não podem ser bloqueados só com meios técnicos; no fim, ou a conscientização de segurança dos usuários comuns aumenta, ou corremos o risco de os dispositivos de computação ficarem cada vez mais fechados
    • Para ser ainda mais rigoroso, outra opção é descompactar o arquivo XPI manualmente e revisar o código
      Se for uma extensão de função simples, mas o código for excessivamente complexo, é motivo para suspeita
      Quando chegar o momento em que a extensão virar um blob fechado, é hora de cair fora
    • Mas eu me pergunto se a Mozilla realmente revisa todas as atualizações toda vez
      Se ela fizer a análise só uma vez e depois a extensão puder manter o selo de “recomendada” mesmo adicionando funções maliciosas em atualizações futuras, isso é perigoso
    • A maioria das bases de código tem centenas de milhares ou milhões de linhas, então revisão manual é praticamente impossível
      Quando é compilado de linguagens como TypeScript, mesmo recebendo o original a validação é difícil por causa da complexidade do processo de build
      O código malicioso nunca vai estar no main.ts; a chance maior é ele estar escondido em uma cadeia profunda de bibliotecas
    • Curiosamente, segundo a matéria, essa extensão de fato recebeu o selo “Featured” após passar por revisão manual

  • A empresa por trás dessa extensão é a Urban Cyber Security Inc., e parece ser uma pessoa jurídica real registrada em Delaware
    Até endereço e telefone estão públicos
    Informações da empresa, site oficial, registro comercial
    À primeira vista parece tudo muito legítimo, então talvez eles próprios também sejam vítimas

    • Mas julgar legitimidade só por essa aparência é arriscado
      Com algumas centenas de dólares dá para montar uma empresa dessas, e um endereço de escritório virtual com um site simples já basta para parecer convincente
      Informação vista na internet deve sempre ser tratada com desconfiança
    • Vendo o Manhattan Virtual Office, o endereço de Nova York é um escritório virtual,
      e o endereço em Delaware do The Mill Space também é um espaço de coworking
    • Na prática, o Urban VPN está ligado à BiScience, uma empresa corretora de dados
      Essa empresa já chamou atenção de pesquisadores no passado por coletar dados de clickstream de usuários
      A mesma funcionalidade de coleta de dados foi encontrada em várias extensões, e o fato de ser um serviço gratuito torna tudo muito suspeito
      Faz lembrar a frase: “uma vez é acaso, duas vezes é coincidência, três vezes é ação hostil”
    • Nos EUA, registrar um endereço e obter um número de telefone pode custar 15 dólares por mês, e abrir uma empresa também sai por algumas centenas de dólares
    • O endereço do agente registrado se parece com o de um escritório de advocacia real, mas não bate exatamente
      Link de referência

  • Fiquei surpreso ao ver a equipe de revisão do Google rejeitar metade da minha extensão
    O app do Uber Driver precisa ter acesso à localização em segundo plano sempre permitido, mas não há como mudar isso nas configurações
    Post relacionado no fórum

    • Se o Google realmente levasse a proteção do usuário a sério, teria impedido apps como o WhatsApp de pedirem permissão de microfone de forma contínua
      Só os apps da Meta parecem ignorar a opção de “perguntar sempre”
      O Google parece se importar mais com anunciantes do que com usuários
    • Provavelmente é porque a permissão “While using” inclui execução de navegação em segundo plano
      Isso está explicado na documentação para desenvolvedores da Apple
    • Também há casos em que a distinção das permissões do app é ambígua
      Por exemplo, precisar apenas de conexão Bluetooth, mas mesmo assim exigir permissão de “acesso a dados de localização”

  • O modelo de permissões das extensões de navegador está fundamentalmente errado
    Todas as permissões são concedidas de uma vez na instalação, e depois ninguém sabe o que pode acontecer em atualizações futuras
    É preciso haver solicitação de permissões em tempo de execução, como no iOS
    O selo “Recommended” é só um paliativo, e extensões que precisam de permissão para “ler/alterar dados em todos os sites” não deveriam sequer existir

    • Hoje só dá para escolher entre um único site específico ou todos os sites, o que é extremo demais
      Mesmo extensões que se aplicam apenas a alguns sites exigem acesso a todos eles
      Acho que por volta de 2025 será necessário um modelo de permissões baseado em sandbox muito mais granular

  • Fiquei chocado ao ler a frase “algumas semanas atrás, abri o Claude ao tomar uma decisão importante da minha vida”
    Parece mesmo que estamos vivendo nessa era

    • Antes as pessoas decidiam no cara ou coroa; agora estamos delegando isso a um preditor sem capacidade de compreensão
      Os humanos passam a depender cada vez mais da IA para evitar a confusão do próprio pensamento
    • Algumas pessoas só conseguem organizar as ideias quando as escrevem
      Nesse sentido, dá para dizer que o cérebro delas funciona como um LLM
    • Para mim, deixar a IA tomar decisões parece coisa de maluco
      Usei o Claude duas vezes, mas não achei muito útil
      Só uso às vezes o resumo de IA do DuckDuckGo
    • Mas, segundo uma pesquisa da HBR, o caso de uso mais comum do ChatGPT é “terapia/companheiro de conversa”
      Fonte
    • Entregar decisões de vida para uma IA é tolice, mas ela pode ser útil como ferramenta para organizar pensamentos e fazer perguntas

  • Eu já tinha visto diretamente o rastreamento da BiScience no passado, então isso agora não me surpreende
    Isso também já tinha sido mencionado antes no caso do hack da extensão da Cyberhaven
    Blog relacionado 1, blog relacionado 2

  • Não entendo por que tanta gente confia em VPN gratuita
    “Entregue todo o seu tráfego para nós, somos grátis” — para mim, nem pensar

    • O ISP fornece todos os registros de conexão quando há solicitação do governo, mas VPNs como a Mullvad operam sem KYC, então na prática nem um mandado de busca expôs dados de clientes
      Caso relacionado
    • O ISP também lida com todo o tráfego, então não é tão diferente de uma VPN
      É por isso que o TLS existe
      O certo é presumir que o tráfego da internet é monitorado por padrão
    • Em alguns países de baixa renda, as pessoas acabam tendo de usar VPN gratuita por causa de restrições de acesso
      Mas, pessoalmente, eu não confio em nada além de Mullvad/IVPN/ProtonVPN
    • A maioria simplesmente usa VPN gratuita para ver conteúdo bloqueado, como torrents, pornô, jogos de azar etc.
      Essas pessoas pesquisam “VPN grátis” e instalam a primeira que aparece para evitar contratos longos
      Na verdade, esse hábito é bem parecido com o uso abusivo de extensões
    • Ainda assim, graças ao TLS, não é como se até seus dados bancários fossem roubados

  • O Google deveria revisar e remover esse tipo de extensão com muito mais rigor
    Confiabilidade é essencial, e extensões como LastPass ou Ward têm valor real
    É preciso um sistema como um diretório público de segurança para extensões

    • Mas é duvidoso que revisão de código consiga pegar esse tipo de problema
      Se a extensão se apresenta como uma “ferramenta de proteção para IA” enquanto coleta dados, isso é coerente do ponto de vista funcional
      O problema não está no código, e sim na política e na forma de uso dos dados
    • Revisão automatizada, sozinha, tem limitações
      Acima de certo número de instalações, deveria haver revisão humana direta, mas o Google não parece gostar desse modelo
    • Também é duvidoso se o Google realmente está fazendo revisão de código
    • Pela revisão de código não dá para saber como os dados de conversa dos usuários serão usados depois

  • Ouvi dizer que o Manifest V3 torna as extensões do Chrome mais seguras, mas fico em dúvida se isso é verdade

    • Ainda assim, graças ao Manifest V3, foi possível impedir que o código fosse carregado por scripts externos, porque ele precisava estar incluído dentro da própria extensão
      Antes esse tipo de detecção era impossível
    • Mas no fim tudo volta à pergunta: “como eles ganham dinheiro?”

  • Neste caso, o sistema não foi invadido; era uma extensão fraudulenta desde o início
    Antigamente eu gostava de personalizar coisas com Greasemonkey, mas hoje só confio em extensões open source como Privacy Badger e Ublock Origin
    Mesmo assim, o risco continua existindo