Una società di sicurezza con sede a Tel Aviv, Koi, indagato Urban VPN Proxy, un’estensione di Google Chrome con sei milioni di utenti e un badge in primo piano di Google. L’indagine ha rivelato script di esecutori che raccolgono conversazioni degli utenti da piattaforme di intelligenza artificiale per la vendita a intermediari di dati. Il ricercatore Koi Idan Dardikman ha dettagliato le operazioni dell’estensione oltre le funzioni VPN standard. Urban VPN Proxy, pubblicato da Urban Cyber Security Inc., include script esecutori che intercettano e catturano conversazioni dalle principali piattaforme di intelligenza artificiale. Queste piattaforme sono costituite da ChatGPT di OpenAI, Claude di Anthropic, Gemini di Google, DeepSeek e Grok di xAI. Gli script si attivano al momento dell’installazione, mirando alle interazioni che gli utenti hanno con questi servizi direttamente all’interno dell’ambiente del browser. I dati raccolti coprono un’ampia gamma di input degli utenti sui chatbot AI. Dardikman ha specificato che include domande mediche, dettagli finanziari, codice proprietario, dilemmi personali e tutte le altre domande poste ai sistemi di intelligenza artificiale. Queste informazioni vengono vendute per scopi di analisi di marketing, trasformando gli scambi privati in risorse commerciali elaborate da entità affiliate. La raccolta dei dati persiste indipendentemente dallo stato attivo della VPN. Gli script dell’esecutore vengono eseguiti continuamente dal momento dell’installazione. Funzionano per impostazione predefinita senza che sia necessario alcun intervento da parte dell’utente per avviarli. Non esiste alcun interruttore rivolto all’utente per disabilitare la funzionalità di scraping. Gli utenti devono disinstallare completamente l’estensione per interrompere il processo di acquisizione dei dati. Urban Cyber Security Inc. divulga alcune pratiche nella sua politica sulla privacy. Dardikman ha sottolineato che la politica afferma esplicitamente: “condividiamo i dati di navigazione Web con la nostra società affiliata”, identificata come broker di dati BiScience, “che utilizza questi dati grezzi e crea approfondimenti che vengono utilizzati commercialmente e condivisi con i partner commerciali”. Questa condivisione trasforma i dati grezzi di navigazione e conversazione in informazioni commerciabili distribuite a partner esterni. Al contrario, l’elenco del proxy Urban VPN sul Chrome Web Store offre garanzie diverse. La pagina dichiara che “i tuoi dati non vengono venduti a terzi, al di fuori dei casi d’uso approvati” e aggiunge che i dati “non vengono utilizzati o trasferiti per scopi non correlati alla funzionalità principale dell’articolo”. Queste dichiarazioni vengono visualizzate accanto al badge in primo piano, segnalando la revisione e la promozione di Google. Lo stesso editore gestisce sette estensioni Chrome aggiuntive con identiche funzionalità di raccolta AI. Queste app servono collettivamente oltre due milioni di clienti. Tutti tranne uno portano un badge in primo piano sul Chrome Web Store. Ogni estensione incorpora gli stessi script dell’esecutore, consentendo l’intercettazione delle conversazioni AI attraverso le piattaforme elencate. Dardikman ha lanciato un avvertimento diretto agli utenti. Ha scritto: “se hai installato una di queste estensioni, disinstallala ora. Supponiamo che tutte le conversazioni AI che hai avuto da luglio 2025 siano state catturate e condivise con terze parti.” Questa raccomandazione è rivolta agli utenti di Urban VPN Proxy e delle estensioni affiliate per impedire un’ulteriore esposizione dei dati. Gli utenti delle estensioni di questo editore dispongono di autorizzazioni documentate per la condivisione dei dati. Un controllo più ampio si applica alle politiche sulla privacy di altre app. I risultati di Dardikman evidenziano autorizzazioni che consentono ai dati di navigazione web, comprese le interazioni AI, di fluire verso broker come BiScience per l’elaborazione commerciale e la distribuzione ai partner.
