网络安全研究员萨姆·贾达利（samjadali）最近发现了一个大规模的数据泄露事件，泄露了45家大公司和数百万个人的私人信息。这起被贾达利和他的团队称为“DataSpii”的泄密事件是由外表无辜的Chrome和Firefox浏览器扩展造成的，这些扩展收集并分发了用户的浏览数据url，这些url显示了用户的私人信息以及一长串的公司，包括苹果、沃尔玛、亚马逊、23AndMe、SpaceX、Skype等等(完整的清单包含在贾达利的报告中。）

用于进行泄漏的八个延长部分是：

• 品牌调查（Chrome）
• FairShare解锁（Chrome和Firefox）
• 鼠标缩放（Chrome）
• 社区调查小组（Chrome）
• 面板测量（铬
• SaveFrom.net帮助程序（Firefox）
• 说吧(铬）
• SuperZoom（Chrome和Firefox）

Jadali向Chrome和Mozilla报告了跟踪活动，后者通过远程禁用这些附加组件并将其从市场上删除来做出回应。然而，Jadali继续监视这些现在已禁用的浏览器加载项的活动，却发现它们仍然在跟踪用户数据，尽管它们的主要功能已被禁用。

换句话说，如果您正在使用上面列出的任何扩展，请卸载它们。虽然其中一些扩展的用户数不到10个，但至少有两个用户数超过了100万，其余的用户数在数万到数十万之间。

这些扩展中的每一个都对数据进行了不同的跟踪，并使用了一些偷偷摸摸的策略，比如等到安装后24天才开始跟踪，以混淆数据收集过程。收集到的数据被卖给了所有感兴趣的买家，贾达利在他的完整报告中描述了一个过程：

贾达利还提醒那些信息也被曝光的公司，他们能够证实贾达利的调查结果。泄露的数据包括敏感的公司信息和泄露的用户数据，如员工姓名、地址、信用卡信息、密码和PIN号码、存储的云文件，甚至在某些情况下还有纳税申报单、基因信息和病史。

在一个例子中，以下是恶意扩展存档的公开iCloud照片列表，所有这些照片都可以通过Google Analytics轻松搜索：

考虑核选项，以保护自己免受不良扩展

虽然受到影响的用户已收到警告，但在发生类似泄漏时，最好检查您的帐户活动和/或更改信息，即使您的数据未受到特别损害。

接下来，我们首先推荐一条建议：限制在浏览器中使用的扩展的数量。仅仅因为虽然一个扩展出现在官方市场上并不一定意味着它是安全的。

虽然有很多令人惊叹和有用的第三方浏览器扩展，但也有很多人希望利用你。我们不是说使用零扩展，这将是最安全的做法，但要注意那些你安装在你的浏览器。也许你不需要30个扩展来完成你的大部分工作，一个由你认识的官方公司提供的5个扩展可以让你度过一天。

更新日期：2019年7月23日：更正了萨姆·贾达利名字的拼写。