Osobní data uživatelů internetu jsou komoditou 21. století. Výzkumníci ze skupiny Q Continuum popsali, že 287 populárních rozšíření prohlížeče Chrome sbírá a prodává citlivé údaje. Investigace.cz zjistila, že i přes riziko zneužití evropské dozorové úřady toto porušování soukromí dosud neřešily.
Souboj mezi běžným smrtelníkem a marketingovými odděleními veškerých firem je nekonečný. Reklamě nelze uniknout na ulicích, v televizi, v rádiu, ale ani na internetu. Právě webové rozhraní je jedním z mála prostorů, kde lze proti reklamám alespoň částečně bojovat. I proto vzniká nespočet adblockerů neboli rozšíření pro webové prohlížeče, které mají reklamy blokovat. Většinou jsou i zdarma.
Jenže základní poučka kyberbezpečnosti praví, že na internetu není zdarma nic, jen ne vždy víte, čím platíte. A jak ukazuje studie výzkumníků ze skupiny Q Continuum, adblocker může být větším problémem než samotná reklama. Netýká se to pouze blokátorů reklam – jde také například o AI asistenty nebo nástroje pro nahrávání obrazovky. Jakékoli rozšíření v prohlížeči totiž může získat přístup k hromadě citlivých osobních informací a bez vědomí uživatele je začít shromažďovat a později i prodávat dalším stranám.
Výzkumníci z Q Continuum, kteří si přáli zůstat v anonymitě, letos zveřejnili studii, v níž zkoumali 32 tisíc nejpopulárnějších rozšíření ve webovém obchodě prohlížeče Chrome od společnosti Google. A našli 287 takových, které označili za špionážní.
Ve své zprávě uvádějí, že tato rozšíření se často tváří jako neškodné doplňky, jako třeba právě blokátor reklamy nebo měnič tapety, ale na pozadí běží proces exfiltrace, tedy vytahování dat, které pak provozovatelé rozšíření prodávají dál. Podle výzkumu tyto doplňky v prohlížeči odesílaly provozovatelům historii prohlížení neboli weby, které uživatel navštívil.
Data nad zlato
Osobní informace mají pro takzvané data brokery, tedy firmy, které se věnují získávání a prodávání dat uživatelů webu nebo aplikací, v současné době hodnotu snad i větší než zlato.
Ze získaných informací lze následně poskládat profil určité osoby zahrnující pohlaví, věk, místo pobytu, zaměstnání či podnikání, rodinný stav, zájmy a koníčky. „Takový profil, který lze z dat získat, pak může být využit k tomu, aby na uživatele mohly firmy zacílit svou reklamu,“ vysvětluje redakci investigace.cz Robert Šuman, vedoucí pražské výzkumné a vývojové pobočky společnosti Eset.
Eset je slovenská kyberbezpečnostní firma, která se zaměřuje na ochranu počítačů před viry. Kromě toho se v rámci kyberbezpečnostní prevence věnuje i tématům ochrany soukromí a osobních údajů na internetu.
Výčet informací, které lze o uživatelích internetu nashromáždit, ale nekončí jen těmi „banálními“ jako zájmy nebo koníčky. Není výjimkou, že se získávají informace i o zdravotním stavu, sexuální orientaci, genderové identitě nebo třeba náboženském vyznání.
Ohroženo mohlo být 37 milionů lidí
Chrome od společnosti Google je s obrovským náskokem nejpoužívanějším prohlížečem na světě, v dubnu 2026 mu připadal 68% podíl trhu. Druhé Safari mělo 17 % a třetí byl prohlížeč Edge od Microsoftu s pěti a půl procenty.
Podle propočtů skupiny Q Continuum tak mohl únik dat zasáhnout víc než 37 milionů uživatelů.
Redakce oslovila české zastoupení společnosti Google s dotazem, jak se s informacemi od výzkumníků vypořádalo. „Všechna rozšíření pro prohlížeč Chrome zmíněná ve zprávě jsme důkladně prověřili. U 124 z nich jsme již zasáhli – buď jsme je zcela odstranili, nebo jsme vývojáře upozornili na nutnost zjednat nápravu. U zbývajících 163 rozšíření kontrola ukázala, že žádná pravidla neporušují,“ sdělila redakci manažerka komunikace společnosti Google pro Česko Alžběta Houzarová.
Špioni pro eBay
Výzkumníci z Q Continuum provedli analýzu toho, kolika uživatelům mohly osobní údaje uniknout a na jaké servery zmíněná rozšíření odesílala data. Jako hlavního aktéra, který těží z takto získaných dat, identifikovali firmu Similarweb.
Ta se profiluje jako platforma pro analyzování webových stránek, zaměřené třeba na návštěvnost, ale i chování uživatelů. Před dvěma lety si otevřela svou tehdy třetí pobočku v Praze.
Společnost Similarweb podle výzkumníků postavila svůj obchodní model na sběru dat prostřednictvím nevinně působících rozšíření a následném prodeji těchto dat svým předplatitelům, mimo jiné velkým společnostem jako eBay, Amazon nebo Booking.com.
Jedná se nejen o mateřskou firmu, ale i v minulosti kritizovanou společnost Big Star Labs, která je podle Q Continuum „prodlouženou rukou“ firmy Similarweb. Již v roce 2018 jiní výzkumníci popsali stejný problém – rozšíření v prohlížeči využívala Big Star Labs jako otevřené dveře k osobním údajům uživatelů. Velký počet uživatelů zasáhly i úniky dat směrem k dalším platformám zaměřeným na jejich prodej, například Butterfly Effect, Curly Doggo nebo Offidocs.
Similarweb na sadu otázek, jak nakládají s daty získávanými z těchto rozšíření, do uzávěrky článku nereagoval.
Sledovali jste porno? Víme o tom
Řekněme, že si vyhledáte obsah pro dospělé. Pokud máte zapnuté některé z problematických rozšíření, to může o vašich preferencích nebo času, který na webech trávíte, na pozadí sbírat data (nutno dodat, že rozšíření mohou fungovat i v anonymním okně).
Právě takový způsob „špehování“ ze strany problematických rozšíření popsala investigaci.cz skupina Q Continuum.
Profitovat se z těchto dat dá dvojím způsobem. Marketingové firmy se naučily prodávat vysoce personalizovanou reklamu. Hledali jste na Googlu, kde je nejbližší Lidl? O několik minut později se na nesouvisejícím webu, třeba tam, kde čtete zprávy, zjeví aktuální leták obchodu. To je ten méně škodlivý způsob využití vašich dat.
Pak je tady ale šedá zóna, která se může přelít až do porušení zákona. Můžete se stát snazším cílem pro podvodníky nebo například terčem personalizovaného phishingového útoku. Data, která lze volně zakoupit na webu, ale používají i výrobci spywaru, ať už k vývoji těchto nástrojů, nebo přímo k identifikování uživatelů a infikování jejich zařízení.
„Pokud se data sbírají delší dobu a mají detailnější charakter, lze následně provést takzvanou Big Data analýzu, na základě které může zadavatel získat velmi osobní a důvěrné informace. Kromě marketingových účelů mohou být data následně zneužita i k vydírání, zvlášť u politicky a ekonomicky významných subjektů,“ sděluje redakci expert firmy Eset Robert Šuman.
Co s daty dělá Čína, nikdo neví
U některých rozšíření identifikovaných jako špionážní ovšem výzkumníci nedokázali určit, jakým způsobem byla sebraná data nakonec využita. To se týkalo hlavně rozšíření od čínských společností jako Alibaba (majitel Aliexpressu) nebo ByteDance (majitel TikToku).
V případě Alibaby se jednalo například o vyhledávač podle obrázků, zatímco ByteDance provozoval třeba záznam obrazovky nebo AI asistenta.
Více o tématu čínských firem si přečtete zde:
Skupina Q Continuum sice zjistila, že posbíraná data putují na servery v Číně, ale za oponu komunistického státu už nedohlédla. V odpovědi na dotazy redakce skupina naznačila, že čínské firmy mohou uživatele sledovat pro svou vlastní potřebu.
Rozdíl mezi čínskými a „západními“ rozšířeními je i ve způsobu sběru a využití dat. Čínská špionážní rozšíření se podle výzkumníků zaměřují na jednotlivce, zatímco rozšíření související s analytickými společnostmi jako Similarweb shromažďují údaje o prohlížení ve velkém měřítku, aby data vyčistila a následně prodala komukoli, kdo si zakoupí předplatné.
Důvodem, proč se výzkumníci a autoři zprávy rozhodli zůstat v anonymitě, jsou právě čínští hráči. „V případě Similarwebu jsme zvažovali odhalení své identity, ale zapojení čínských aktérů naznačovalo možnou činnost sponzorovanou státem, což nás vedlo k větší opatrnosti,“ vysvětlila skupina redakci investigace.cz.
Více světla se pokusil do čínské problematiky vnést Robert Šuman z Esetu. „Problémem u aplikací se sídlem v Číně je skutečnost, že tyto společnosti pracují s daty uživatelů na základě tamní legislativy. I proto nevíme, jak s nimi tyto společnosti dále nakládají. Data uživatelů nemusejí být zpracovávána v souladu s evropskými principy a standardy zpracování dat,“ míní expert.
Kdo to kontroluje? Nikdo
V rámci Evropské unie existuje hned několik orgánů, které by se měly věnovat ochraně osobních údajů uživatelů internetu, v realitě však tuto funkci z různých důvodů neplní.
Českým regulatorním orgánem pro dodržování celoevropského nařízení GDPR (General Data Protection Regulation) je Úřad pro ochranu osobních údajů (ÚOOÚ). Ten ale nemá kompetence vyšetřovat případy, kdy se pochybení dopustily nadnárodní firmy, jako je třeba Google – protože má podobně jako další velké technologické firmy své evropské sídlo v Irsku.
„ÚOOÚ neeviduje podnět ani stížnost související se sběrem a prodejem osobních údajů uživatelů prostřednictvím rozšíření webového prohlížeče Chrome. Zároveň však platí procedura one stop shop (jednoho správního místa), takže k řešení takové stížnosti (či podnětu) by byl příslušný irský dozorový úřad,“ odepsal investigaci.cz Roman Štípský, ředitel kanceláře předsedy ÚOOÚ.
Irský dozorový úřad neboli Data Protection Commission (DPC) se ale s podobným případem ještě nesetkal. V odpovědi investigaci.cz tvrdí, že jelikož na tento problém nedostali stížnost, nemají prostředky se mu věnovat.
„Touto otázkou jsme se dosud příliš podrobně nezabývali. Pokud jde o stanovení priorit v oblastech, kterým se v daném okamžiku věnujeme, vzhledem k tomu, že stejně jako u všech dozorových orgánů nejsou ani naše zdroje neomezené, se často řídíme podněty, které nám předkládají stěžovatelé. Naše týmy prohledaly celou naši databázi stížností a v této věci jsme od jednotlivců žádné stížnosti neobdrželi,“ odpovídá na otázku redakce zástupce komisaře DPC Graham Doyle.
„Pokud se nakonec touto záležitostí budeme zabývat, samozřejmě se s vámi znovu spojíme.“
Dozorovým orgánem Evropské unie je Evropský sbor pro ochranu osobních údajů (European Data Protection Board, EDPB). Pravomoc tohoto centrálního úřadu je však dost limitovaná. Z odpovědi sekretariátu úřadu investigaci.cz vyplývá, že mohou vydávat obecné pokyny, poskytovat poradenství Evropské komisi a přijímat rozhodnutí a stanoviska o „soudržnosti“, pokud se vede přeshraniční spor.
„Upozorňujeme, že pravomoc vydávat obecné pokyny nelze chápat jako mechanismus, kterým by EDPB vykonával dohled nad tím, jak orgány pro ochranu údajů řeší jednotlivé případy,” píše úřad v odpovědi redakci.
Evropský úřad dodává, že pokud občan EU není s reakcí orgánu pro ochranu údajů spokojen, může zahájit i soudní řízení u Soudního dvora EU.
„Mějte však na paměti, že orgány pro ochranu údajů denně přijímají velké množství žádostí, a proto nejsou vždy schopny na vaši žádost odpovědět v krátké době,“ uzavírá EDPB.
Autor textu: Dávid Pásztor