Een in Tel Aviv gevestigd beveiligingsbedrijf, Koi, heeft een grootschalige dataverzamelingsoperatie ontdekt die verband houdt met de Urban VPN Proxy Chrome-extensie. De gratis extensie heeft ongeveer zes miljoen gebruikers en is voorzien van een ‘featured’-badge in de Chrome Web Store, waarmee de goedkeuring van Google wordt aangegeven. Koi-onderzoeker Idan Dardikman legde uit hoe de extensie verborgen ‘uitvoerder’-scripts bevat die gebruikersgesprekken op grote AI-platforms onderscheppen en vastleggen. Deze platforms omvatten OpenAI’s ChatGPT, Anthropic’s Claude, Google’s Gemini, DeepSeek en xAI’s Grok. De verzamelde gegevens bestrijken een breed scala aan gebruikersvragen, zoals medische vragen, financiële details, bedrijfseigen code en persoonlijke dilemma’s. Deze informatie wordt volgens Dardikman verkocht voor marketinganalysedoeleinden. Het verzamelen van gegevens vindt continu plaats, ongeacht of de VPN actief is of niet. De scripts worden standaard geactiveerd tijdens de installatie en er bestaat geen gebruikersgerichte schakelaar om ze uit te schakelen. Gebruikers moeten de extensie volledig verwijderen om het schrapen te stoppen. Urban Cyber Security Inc., de ontwikkelaar achter Urban VPN Proxy, maakt deze praktijken bekend in haar privacybeleid. Het beleid stelt dat het bedrijf webbrowsergegevens deelt met de aangesloten datamakelaar BiScience. BiScience verwerkt deze ruwe data tot inzichten die zij commercieel verkoopt aan zakenpartners. Daarentegen beweert de Chrome Web Store-pagina van de extensie dat gebruikersgegevens niet aan derden worden verkocht buiten goedgekeurde gebruiksscenario’s. Het beweert ook dat de gegevens niet worden gebruikt of overgedragen voor doeleinden die geen verband houden met de kernfunctionaliteit van de extensie. Forbes-rapporten geven aan dat dezelfde uitgever minstens zeven extra extensies exploiteert met identieke AI-oogstmogelijkheden. Deze apps bedienen samen meer dan twee miljoen gebruikers, en op één na dragen ze allemaal de ‘featured’-badge van Google. Dardikman drong aan op onmiddellijke actie: “Als u een van deze extensies heeft geïnstalleerd, verwijder deze dan nu. Stel dat alle AI-gesprekken die u sinds juli 2025 heeft gevoerd, zijn vastgelegd en gedeeld met derden.” Het onderzoek benadrukt de noodzaak voor gebruikers om het privacybeleid van extensies van dezelfde uitgever en anderen te onderzoeken op vergelijkbare rechten voor gegevensverzameling.
Source: Koi ontdekt het verzamelen van gegevens in Urban VPN Proxy
