- Ekstensi browser Urban VPN Proxy tertangkap sedang memanen obrolan AI pengguna
- Peneliti keamanan memperkirakan lebih dari 8 juta pengguna telah terkena dampaknya
- Insiden ini menjadi pengingat untuk hanya menggunakan aplikasi VPN yang bereputasi baik
Ekstensi Chrome Proxy VPN Perkotaan gratis baru-baru ini menjadi berita utama setelah ketahuan diam-diam mencuri setiap perintah AI penggunanya masuk ke chatbots mereka.
Ini datang sebagai peneliti keamanan di Koi Security membedah ekstensi VPN dan menemukan skrip tersembunyi yang menangkap teks lengkap dari setiap perintah AI, mengompresinya, dan meneruskan data ke dua titik akhir analitik yang dimiliki oleh Urban VPN untuk kemudian menjualnya ke broker data untuk tujuan periklanan dan pembuatan profil.
Meskipun hal ini merupakan kejutan bagi delapan juta pengguna Urban VPN Proxy yang diperkirakan terkena dampak di Chrome dan Edge, hal ini tentu saja bukan insiden yang terisolasi. Justru sebaliknya – aplikasi VPN yang berbahaya (seringkali gratis) tersebar luas Google mengeluarkan peringatan keamanan tentang bahaya ini dalam laporan penasihat penipuan bulan November. Daripada kejadian yang tidak menguntungkan, kasus Urban VPN Proxy adalah satu lagi pengingat yang jelas untuk hanya mengunduh VPN terbaik aplikasi.
Lebih dari 8 juta pengguna Urban VPN berisiko
Urban VPN Proxy memiliki modul tersembunyi yang aktif setiap kali browser menghubungi salah satu platform AI yang didukung: ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, xAI Grok, dan Meta AI.
Seperti yang diungkapkan oleh peneliti Koi, kode pengumpulan data ditambahkan dalam pembaruan tanggal 9 Juli 2025 (versi 5.5.0), dengan aktivitas ini terjadi terlepas dari apakah pengguna terhubung ke VPN.
Meskipun ekstensi tersebut mengiklankan fitur Perlindungan AI yang memperingatkan pengguna tentang pembagian data sensitif, rutinitas pengambilan data yang mendasarinya berjalan secara independen dari tombol tersebut. Ini berarti menonaktifkan peringatan tidak menghentikan penghapusan data secara diam-diam.
Setelah ditangkap, muatan percakapan dikompresi dan dikirimkan secara real-time ke analitik.urban-vpn.com dan stats.urban-vpn.com, lalu dikumpulkan dan kemudian diserahkan ke BiScience, broker yang menjual data perilaku dan penjelajahan ke platform periklanan seperti AdClarity dan Clickstream OS.
Karena ekstensi diperbarui secara diam-diam melalui mekanisme pembaruan otomatis browser, pengguna menerima kode invasif tanpa perintah atau persetujuan apa pun, sehingga secara efektif mengubah alat yang berfokus pada privasi menjadi vektor kebocoran data.
Skala pelanggarannya cukup besar, dengan para peneliti memperkirakan lebih dari delapan juta pengguna yang terkena dampak, dengan enam juta di Chrome saja dan instalasi tambahan pada ekstensi terkait (1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker) yang menyematkan skrip pemanenan yang sama.
Jenis informasi yang ditangkap berkisar dari pertanyaan biasa hingga konten yang sangat sensitif, termasuk pertanyaan medis, rincian keuangan, cuplikan kode kepemilikan, dan dilema pribadi.
Paparan data tersebut membuka jalan bagi hal tersebut pencurian identitaspenipuan keuangan, spionase perusahaan, dan pembuatan profil pengguna terperinci yang dapat dimanfaatkan untuk iklan bertarget, yang bertentangan dengan jaminan privasi yang seharusnya diberikan oleh VPN.
Kebutuhan akan VPN yang memiliki reputasi baik
Banyak ekstensi VPN gratis yang ditandai karena memata-matai, menggabungkan adware, atau bertindak sebagai pintu gerbang bagi malware. TechRadar baru-baru ini melaporkan ekstensi Chrome VPN gratis itu diam-diam mengambil tangkapan layar dari setiap halaman web dikunjungi pengguna, secara efektif mengubah browser menjadi alat pengawasan.
Kasus terkenal lainnya melibatkan ekstensi “VPN Gratis Tanpa Batas”, yang dihapus pada Mei 2025 setelah bertahun-tahun mencuri data pengguna, hanya untuk muncul kembali nanti dengan perilaku yang lebih agresif.
Selain segelintir yang aman VPN gratis aplikasi yang beroperasi di bawah sistem freemium, sebagian besar layanan gratis tidak memiliki pendapatan untuk mendanai audit keamanan yang ketat dan kebijakan privasi yang transparan. Untuk menutup biaya, mereka mungkin memonetisasi lalu lintas pengguna melalui pengumpulan data yang dirahasiakan, izin yang berlebihan, atau iklan.
Sebaliknya, penyedia VPN terkemuka seperti NordVPN beroperasi berdasarkan komitmen privasi yang jelas, menjalani audit independen, dan menerapkan kebijakan larangan pencatatan yang ketat. Memilih layanan VPN yang terverifikasi memastikan bahwa enkripsi diterapkan secara end-to-end dan bukan sekadar menyalurkan lalu lintas ke server farm yang menjual data. Dengan menghindari ekstensi VPN yang gratis dan belum terverifikasi serta memilih penyedia yang memiliki reputasi baik dan telah diaudit, pengguna dapat lebih melindungi interaksi AI dan privasi online mereka.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
