Cuando los desarrolladores de extensiones quieren ganar dinero con sus extensiones populares, sólo tienen unas pocas opciones para hacerlo. Pueden pedir donaciones, ofrecer una versión pagada, integrar un módulo de monetización de terceros en la aplicación o venderlo al mejor postor.
Las dos últimas opciones suelen ir acompañadas de alguna forma de seguimiento de los usuarios que las empresas añaden a la extensión para crear perfiles para su uso en la publicidad o para vender los datos a otras empresas.
Awesome Screenshot fue una extensión de Chrome muy popular. Tenía más de 1,3 millones de usuarios y 45.000 valoraciones con una media de cinco de cinco en la tienda web de Chrome. La extensión ya no está disponible en el momento de escribir este artículo.
Era una extensión de captura de pantalla para Chrome que se podía usar para capturar parte o toda una página, añadir anotaciones, difuminar información sensible y cargar o compartir la captura de pantalla después.
La compañía detrás del producto añadió un componente de comparación de precios que parecía ser el primer intento de monetización.
Después, añadió otro módulo de monetización a la extensión. Todo salió a la luz después de un tiempo. Así es como sucedió:
Cuando los webmasters notaron los accesos a páginas específicas por parte de los bots, páginas a las que los bots normalmente no acceden porque no son públicas y muchas requieren autenticación para acceder, comenzaron a investigar el asunto.
Resultó que la extensión Chrome Awesome Screenshot alimentaba al bot, llamado niki-bot, con urls tomadas del historial de navegación del usuario.
Un análisis más detallado realizado por un usuario afectado reveló que los urls se enviaban en texto plano mientras que otros afirmaban que no sólo los urls sino también los datos de la sesión eran captados por la extensión.
Si compruebas la descripción de la extensión en la Chrome Web Store, notarás la siguiente actualización si te desplazas hacia abajo.
[Política de privacidad actualizada] El uso de la extensión del navegador Awesome Screenshot requiere que se le conceda permiso para capturar datos de flujo de clics anonimizados . El uso y la actividad de navegación anónima pueden ser recogidos con fines de investigación y pueden ser compartidos en conjunto con terceros. No se capturará ninguna información de identificación personal en relación con estos datos. Por favor, revise nuestro EULA específico https://www.diigo.com/extensions_terms.html y la política de privacidad https://www.diigo.com/extensions_privacy.html para más detalles.
El problema aquí es que la mayoría de los usuarios pueden no ver la actualización ya que no se muestra sobre el pliegue. Si no te desplazas hacia abajo para leer toda la descripción, no te darás cuenta de esto en absoluto.
Además, no hay ninguna advertencia mientras se instala la extensión o una opción para desactivar la función.
Si lee la política de privacidad, encontrará los siguientes párrafos:
Otra información recogida