Скрытый доступ Chrome-плагинов к профилям Facebook грозит новыми утечками

Татьяна Никитина 18 Февраля 2022 - 08:53

Домашние пользователи

Корпорации

Утечки информации

Умышленные утечки информации

Кража данных

Facebook

...

Многие расширения Chrome, облегчающие взаимодействие с Facebook, используют сеансовые токены пользователя для доступа к нужной информации через Graph API соцсети. Как оказалось, некоторые из этих плагинов отсылают данные из профиля на свой сервер без согласия и ведома пользователя, а также в нарушение политик Meta.

Подобная возможность создает риск массовой утечки данных фейсбукеров, и в случае злоупотребления доступом к Graph API соцсеть может вновь оказаться в центре скандала, как это уже было в 2018 году (весна, Cambridge Analytica, и осень, кража токенов через функцию View As).

На прошлой неделе компания Brave заблокировала в своем браузере загрузку расширения L.O.C. из Chrome Web Store. Плагин, помогающий юзерам автоматизировать некоторые задачи в Facebook, пользуется популярностью — его скачали из магазина Google около 700 тыс. раз, однако в Brave сочли, что он ставит под угрозу конфиденциальность пользователей.

Как выяснил The Register, используемые L.O.C. токены доступа (текстовая строка из 192 букв и цифр) можно легко получить обращением к Creator Studio — это веб-приложение Facebook отдает их в ответ на запрос GET. Свидетельств того, что плагин злоупотребляет доступом к данным в соцсети, не обнаружено, однако разработчику все же пришлось вместе с Brave заняться приведением его в соответствие с нормами безопасности и приватности.

В Chrome Web Store имеются еще несколько расширений, использующих Creator Studio для получения токенов доступа к данным в Facebook:

J2TEAM Security (200 000 загрузок),
MonokaiToolkit (10 000),
FBVN (80 000),
KB2A Tool (50 000).

Все эти продукты — результат работы Facebook-группы, популярной у разработчиков, говорящих на вьетнамском языке. Они используют сеансовые токены соцсети для предоставления услуг, отсутствующих в ее ассортименте, но пользователей при этом не ставят в известность об обработке их данных.

В ответ на запрос The Register о комментарии представитель Meta заявил, что таким расширениям Chrome обычно недоступны данные сверх тех, которыми может оперировать владелец Facebook-аккаунта. Тем не менее, в компании признают наличие рисков и факт нарушения правил соцсети.

Бороться с такими проблемами без помощи Google невозможно, и Meta, как сказано в ответном письме, неоднократно просила создателя Chrome удалить провинившиеся плагины из загрузок. Разработчику L.O.C. было направлено письмо-претензия; ему даже запретили пользоваться платформой, но все эти меры не могут деактивировать плагин в браузерах фейсбукеров.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Татьяна Никитина 28 Января 2026 - 14:12

GenAI (генеративный искусственный интеллект) Общее

За год спрос на специалистов по ИИ в России удвоился

Расширение внедрения ИИ в рабочие процессы российских компаний породило повышенный спрос на специалистов с соответствующими знаниями и навыками. В 2025 году число таких вакансий на hh.ru, Superjob, «Авито» возросло в два раза.

Вместе с тем дефицита профильных специалистов на рынке не наблюдается. Многие работодатели пока лишь опробуют ИИ и не готовы ради этого вкладываться в дополнительные (и недешевые!) людские ресурсы.

По данным hh.ru, в настоящее время наиболее востребованы ML-, ИИ- и промпт-инженеры, а также нейрокреаторы (художники, иллюстраторы, дизайнеры). Спрос на ИИ-тренеров, архитекторов ИИ-решений, фасилитаторов (специалистов по обучению персонала) гораздо скромнее.

Диапазон зарплат, предлагаемых таким узким специалистам, широк:

ML-инженеры — от 185 тыс. до 345 тыс. руб. (медианные значения);
ИИ-инженеры — 220 тыс. руб. (медиана);
ИИ-тренеры, архитекторы ИИ-решений, ИИ-фасилитаторы — 100 тыс. руб. и выше;
промпт-инженеры, нейрокреаторы — до 100 тыс. рублей.

На «Авито» чаще всего искали ИИ-тренеров и ИИ-редакторов (создание текстов, вычитка, подбор качественных образцов для обучения моделей). Средняя зарплата по всем профильным вакансиям — около 67,5 тыс. рублей.

Опрошенные «Ведомостями» представители ИТ-отрасли считают, что на данном этапе освоения ИИ большую ценность представляют навыки промпт-инженерии и способность отличить рабочий артефакт от правдоподобной галлюцинации. Ошибки ИИ могут дорого стоить крупной компании, так как могут повлечь не только убытки, но также потерю репутации и отток клиентов.

Андрей Зыкин, возглавляющий в BPMSoft направление по внедрению ИИ, отметил еще одно важное качество профильного специалиста — наличие критического мышления. От таких работников требуется умение четко формулировать задачи и оценивать корректность, пригодность, безопасность ИИ-решений с учетом слабых мест новых технологий.

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »