Álcázott adatgyűjtés, „kiemelt” minősítéssel
Az adatgyűjtő bővítmények – köztük az Urban VPN Proxy, a 1ClickVPN Proxy, az Urban Browser Guard és az Urban Ad Blocker – főként biztonsági és hirdetésblokkoló funkciókkal kecsegtetnek. Ezek együttesen több mint 8 millió letöltést generáltak. Ezt egyébként a Google és a Microsoft „Featured” (Kiemelt) jelvénnyel is elismerték, amely hivatalosan a magas minőséget hivatott garantálni. Ettől függetlenül a vizsgálatok szerint mindegyik bővítményben megtalálható egy speciális kódrészlet, amely akkor is továbbítja a böngészőn keresztül folytatott MI-beszélgetéseket, ha a VPN, az MI-védelem vagy az adblokkoló funkciók éppen ki vannak kapcsolva.
Marketingesek aranybányája: minden szó számít
A háttérben futó szkriptek a meglátogatott MI-chatoldalakon észrevétlenül beépülnek a weboldalak működésébe, és minden, az oldalon megadott promptot, választ, időbélyeget, azonosítót és a felhasználói munkamenethez tartozó adatot elküldenek a fejlesztő szerverére. Gyakorlatilag az összes ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok és Meta AI platformon történő teljes kommunikációt naplózzák és értékesítik.
Miután ezt elsőként az Urban VPN Proxyban fedezték fel – ahol külön előnyként emelték ki az MI-védelmet –, hamarosan további hét, teljesen ugyanígy működő bővítményt azonosítottak. Ezek jelentős része továbbra is aktívan elérhető, összesen 8 millió letöltéssel. Az érintett felhasználók köre kifejezetten széles, tekintve, hogy csak az Urban VPN Chrome-verzióját több mint 6 millióan, az Edge-verziót pedig további 1,32 millióan töltötték le.
Felhasználási feltételek: apró betűkben a lényeg
Bizonyos jelek arra utalnak, hogy a bővítmények megtévesztő üzeneteket közölnek a felhasználókkal: miközben rendre azt állítják, hogy mellőzik a személyes adatmegosztást és nem továbbítanak információt harmadik félnek, a hosszú, jogi nyelvezetű adatvédelmi nyilatkozatukban feketén-fehéren szerepel, hogy „a végfelhasználó által feltett kérdéseket és az MI-chat generálta válaszokat” marketingelemzési célra továbbértékesítik.
Ez a jelenség jól illusztrálható azzal, hogy egyes bővítmények, mint az Urban VPN, MI-védelmi előnyt ígérnek, sőt azt is állítják, hogy az adatokat csak a szolgáltatás fő funkcióihoz használják. Az adatvédelmi szabályzatban azonban kiderül, hogy minden MI-promptot továbbítanak a fejlesztőhöz, aki aztán saját leányvállalatával, a BiScience (B.I. Science) nevű céggel osztja meg az adatokat, ahol azokból üzleti célra felhasználható elemzéseket készítenek és kereskedelmi partnereknek értékesítik.
Páncéltörő nyíl a biztonságon: az MI-titkok forgalma
A Koi biztonsági cég szerint azoknak, akik 2025. július 9. után telepítették az érintett Urban VPN-t, és bármely felsorolt MI-chatplatformon beszélgettek, számolniuk kell azzal, hogy ezek a beszélgetések – legyen szó akár egészségügyi, pénzügyi, vállalati vagy teljesen privát ügyekről – harmadik félhez kerülhettek marketingelemzési célból.
A helyzetet súlyosbítja, hogy a felhasználók a bővítményeket könnyedén letölthették és telepíthették, gyakran anélkül, hogy átolvasták volna a több ezer szavas adatvédelmi szabályzatokat. Ráadásul a nagyvállalatok, például a Google vagy a Microsoft sem léptek fel kellő határozottsággal: még az egyértelmű visszaélések után is minősítő jelvényekkel tüntették fel ezeket a gyakorlatilag kémprogramként működő bővítményeket.
Mi marad az adatainkból az ingyenesség árnyékában?
Mindez komoly kérdéseket vet fel a felhasználói bizalommal kapcsolatban. Miért bízunk érzékeny vállalati kódjainkat, betegségeink leírását vagy magánéletünk legbensőbb részleteit olyan MI-csevegőkkel, amelyekhez kapcsolódóan semmiféle jogi védelmet, orvosi titoktartást vagy ügyvédi titkot nem garantálnak? Így is, bízva az ingyenességben, tömegek használják ezeket az alkalmazásokat minden figyelmeztetés nélkül, miközben az adataink szó szerinti aranybányává válnak a piaci elemzők és adatbrókerek számára.
Ez a tendencia rávilágít, mennyire veszélyes a kevéssé ismert fejlesztőktől származó, minimális előnnyel kecsegtető bővítmények használata – különösen, ha azok rejtett módon az eszközeiden folytatott magánbeszélgetéseket is másoknak adják el. Ideje lenne kétszer is meggondolni, mit telepítünk, és milyen adatokat osztunk meg az MI-platformokkal.
