Браузерные расширения и desktop-helpers: невидимый канал утечки ПДн и коммерческой информации

Маленький плагин — большая дыра: как корпоративный браузер превращается в инструмент слежки

Почему браузер стал главной дырой в корпоративном периметре

Когда компании вкладывают миллионы рублей в межсетевые экраны, DLP-системы и SIEM-платформы, они нередко упускают из виду небольшую полоску с иконками в правом верхнем углу корпоративного браузера. Именно там обитают браузерные расширения — минипрограммы, которые пользователи массово устанавливают ради удобства: проверки орфографии, перевода текста, управления паролями, автоматизации форм, блокировки рекламы.

Согласно отчёту Browser Security Report 2025, браузер сегодня — это «единственная точка пересечения» всех корпоративных рисков, связанных с идентификацией, SaaS-сервисами и искусственным интеллектом. Через него сотрудники заходят в CRM, корпоративную почту, 1С, системы документооборота — и передают туда же персональные данные клиентов, коллег, финансовую информацию [9]. Расширение, установленное в этом браузере, технически получает доступ ко всему этому потоку.

Цена ошибки растёт. В 2024 году Роскомнадзор зафиксировал 135 случаев утечек баз данных с более чем 710 миллионами записей о россиянах [10]. Нарушители в большинстве случаев не подозревали об утечке до прихода регулятора или публикации данных в даркнете. А с мая 2025 года действуют новые штрафные санкции, которые превращают каждый неконтролируемый канал передачи данных — включая браузерные расширения — в прямой финансовый риск для бизнеса.

Эта статья — для тех, кто принимает решения в области информационной безопасности, compliance и ИТ-управления: CISO, DPO, ИТ-директоров, специалистов по защите персональных данных и всех, кто хочет понять, где именно в корпоративной инфраструктуре сегодня зияет невидимая дыра.

Часть 1. Анатомия угрозы: как расширение получает доступ к вашим данным

Что такое браузерное расширение и почему оно такое опасное

Браузерное расширение — это небольшая программа, написанная преимущественно на JavaScript, которая устанавливается непосредственно в браузер и работает в его привилегированном контексте. В отличие от обычного веб-сайта, расширение не ограничено политикой одного домена (same-origin policy): получив нужные разрешения, оно может читать и модифицировать содержимое любой страницы, видеть всю историю просмотров, перехватывать cookie-файлы, читать данные из буфера обмена и отправлять всё это на любой внешний сервер.

При этом традиционные инструменты защиты фактически слепы к этой активности. Endpoint-решения видят только уровень процессов: браузер запущен — всё нормально. Сетевые инструменты наблюдают стандартный зашифрованный HTTPS-трафик. Эксфильтрация данных происходит внутри веб-сессии, маскируясь под обычную активность пользователя [7].

Исследователи из SquareX продемонстрировали на конференции DEF CON 32 (2024), что под Manifest V3 — обновлённой платформой расширений Google, призванной повысить безопасность — злоумышленники всё равно могут создавать расширения, способные перехватывать живые видеопотоки с Google Meet и Zoom, перенаправлять пользователей на фишинговые страницы, похищать cookie-файлы сайтов и добавлять несанкционированных участников в закрытые репозитории GitHub — используя лишь стандартное разрешение «доступ к сайтам-хостам», которое есть у тысяч легитимных расширений вроде граммар-чекеров [11].

Система разрешений: как выглядит согласие, которое никто не читает

Модель разрешений расширений формально устроена по принципу наименьших привилегий (Principle of Least Privilege, PoLP): разработчик декларирует в файле manifest.json список запрашиваемых прав, и при установке браузер показывает пользователю предупреждение. На практике всё куда проще для злоумышленника.

Во-первых, пользователи массово игнорируют предупреждения о разрешениях. Во-вторых, популярные расширения — граммар-чекеры, переводчики, VPN-клиенты — легитимно запрашивают широкий доступ к страницам. Одно такое разрешение (host permissions с wildcard <all_urls>) позволяет читать содержимое любой страницы, которую открывает пользователь — включая корпоративные системы, формы с ПДн, страницы с финансовой отчётностью.

Наиболее тревожные комбинации разрешений, которые стоит воспринимать как красный флаг:

1. Доступ ко всем сайтам (<all_urls>) в сочетании с правом на выполнение скриптов и доступом к вкладкам.
2. Доступ к cookie-файлам (cookies) — позволяет читать и эксфильтрировать сессионные токены.
3. Доступ к буферу обмена (clipboardRead/clipboardWrite) — позволяет перехватывать скопированные пароли, токены, реквизиты.
4. Native messaging — позволяет расширению общаться с локальными desktop-приложениями в обход браузерной изоляции.
5. Управление загрузками (downloads) без очевидного функционального обоснования.

Согласно Enterprise Browser Extension Security Report 2025, 52% сотрудников имеют установленными более 10 расширений, а более половины из них получают доступ к чувствительным корпоративным данным [1]. При этом значительная часть расширений опубликована с аккаунтов Gmail без какой-либо верификации, не имеет истории обновлений и реальной команды поддержки.

Часть 2. Пять моделей атаки: как расширение становится инструментом слежки

Модель 1. Изначально вредоносное расширение

Злоумышленник создаёт расширение, которое выглядит полезным: блокировщик рекламы, менеджер вкладок, AI-ассистент, VPN-клиент. Расширение действительно выполняет заявленный функционал, но параллельно ведёт скрытую деятельность: собирает историю посещений, перехватывает содержимое страниц, крадёт cookie.

Показательный пример 2025 года: расширение FreeVPN.One с бейджем «Featured» в Chrome Web Store делало скриншоты каждой посещённой страницы и эксфильтрировало данные — несмотря на официальное подтверждение безопасности от магазина [11]. В мае 2025 года «Лаборатория Касперского» выявила 57 расширений Chrome с более чем 6 миллионами установок, которые маскировались под легальные инструменты, но относились к одному семейству шпионских программ [3].

Ещё более масштабный случай: в феврале 2026 года исследователь под ником Q Continuum выявил 287 расширений Chrome с суммарной аудиторией 37,4 миллиона пользователей, которые незаметно передавали полную историю посещений сторонним компаниям — в том числе Similarweb, ByteDance и Alibaba Group [4].

Модель 2. Атака на цепочку поставок (Supply Chain Attack)

Это наиболее опасная и трудно обнаруживаемая разновидность атаки. Злоумышленник не создаёт новое расширение — он компрометирует уже существующее, пользующееся доверием пользователей. После получения контроля над аккаунтом разработчика через магазин публикуется вредоносное обновление, которое автоматически распространяется на всех установивших расширение.

Эталонный кейс — атака на Cyberhaven в декабре 2024 года. 24 декабря 2024 года сотрудник компании получил фишинговое письмо, замаскированное под официальное уведомление Chrome Web Store о нарушении политик. Пройдя по ссылке, он авторизовал вредоносное OAuth-приложение под названием «Privacy Policy Extension», которое получило права на публикацию расширений от имени Cyberhaven. Важный нюанс: у сотрудника была включена многофакторная аутентификация и Google Advanced Protection — но OAuth-авторизация не требует прохождения MFA [2].

25 декабря в 01:32 UTC вредоносная версия расширения (v24.10.4) появилась в Chrome Web Store — и успешно прошла проверку безопасности Google. Благодаря механизму автоматического обновления Chrome она распространилась примерно на 400 000 пользователей. Вредоносный код целенаправленно собирал cookie-файлы сессий Facebook Ads и токены для аккаунтов на рекламных и AI-платформах, обходя двухфакторную аутентификацию через перехват кликов мыши [2].

Масштаб атаки оказался значительно шире: в ходе расследования выяснилось, что та же группа злоумышленников с марта 2024 года скомпрометировала более 35 расширений Chrome с суммарной аудиторией более 2,6 миллиона пользователей. Среди жертв — VPNCity, Reader Mode (300 тысяч пользователей), Bard AI chat (100 тысяч пользователей), TinaMind (40 тысяч пользователей) [12].

Модель 3. Расширение-брокер: легальный шпионаж аналитических компаний

Не все угрозы исходят от откровенных злоумышленников. Существует легальная серая зона: расширения, которые открыто (или в глубине многостраничного соглашения) декларируют сбор данных о посещённых сайтах и передают их аналитическим компаниям.

Характерный пример — история DataSpii, задокументированная ещё в 2019 году: восемь расширений Chrome и Firefox собирали персональные данные миллионов пользователей — включая корпоративную информацию — и продавали доступ к ней аналитическим сервисам [13]. Финансовая отчётность Similarweb от 27 февраля 2025 года прямо указывает на зависимость платформы от данных, собираемых через браузерные расширения [4]. При этом политика Chrome Web Store формально ограничивает такую практику, но допускает исключения, которыми недобросовестные компании пользуются.

Модель 4. Целевые корпоративные атаки через маскировочные расширения

Особую опасность для бизнеса представляют расширения, разработанные специально для атаки на корпоративные системы. В январе 2026 года исследователи компании Socket выявили пять расширений Chrome, целенаправленно атакующих пользователей корпоративных платформ Workday, NetSuite и SuccessFactors [14].

Расширения позиционировались как инструменты повышения производительности и упрощения работы с корпоративными аккаунтами. На самом деле они выполняли три типа атак:

1. Эксфильтрация cookie-файлов с аутентификационными токенами на удалённый сервер каждые 60 секунд.
2. Блокировка доступа к страницам безопасности и управления паролями — чтобы предотвратить обнаружение атаки.
3. Инъекция похищенных cookie обратно в браузер для прямого захвата сессий.

Политика конфиденциальности этих расширений прямо заявляла: «we will not collect or use your data». Название и описание не содержали ни малейших признаков вредоносного умысла [14].

Модель 5. Атака через legitimate-расширение, купленное с аудиторией

Разработчики популярных расширений регулярно получают предложения о покупке своих продуктов. Покупатель, заинтересованный в аудитории и установленном доверии, выпускает обновление с добавленным вредоносным кодом. Технически это та же supply chain атака, но инициированная не взломщиком, а новым владельцем.

Вредоносные расширения WeTab и несколько продуктов того же издателя набрали более 3 миллионов установок в Chrome и Edge. В 2025 году они начали собирать URL-адреса, историю посещений, поисковые запросы, клики мыши и цифровые отпечатки браузеров — семь лет работая как добросовестные инструменты [15].

Часть 3. Desktop-helpers: расширенная поверхность атаки

Угроза не ограничивается браузерными расширениями. Значительный риск несут так называемые desktop-helpers — вспомогательные программы, устанавливаемые сотрудниками для повышения личной производительности. В эту категорию попадают:

1. Инструменты для записи экрана и видеоконференций (Loom, Krisp, Fireflies.ai) — имеют доступ к аудио и видео, а нередко и к содержимому экрана. Данные голосовых переговоров могут содержать обсуждение персональных данных клиентов, стратегических планов, финансовой информации.
2. Clipboard-менеджеры — хранят всё, что пользователь копировал: пароли, токены, фрагменты кода, данные из корпоративных систем.
3. «Умные» PDF-читалки и конвертеры — многие из них загружают документы на внешние серверы для обработки. Если в PDF содержатся персональные данные, они могут покинуть контролируемую корпоративную среду.
4. AI-ассистенты и интеграции с ChatGPT, Gemini, Claude — согласно Browser Security Report 2025, почти половина сотрудников используют AI-инструменты через личные аккаунты вне зоны контроля ИТ-службы, нередко вставляя в промпты фрагменты внутренних документов, переписки и клиентских данных [9].
5. Remote Desktop-утилиты (AnyDesk, TeamViewer) — в феврале 2024 года AnyDesk был взломан, злоумышленники получили доступ к продакшн-системам [16]. Сама же архитектура remote access инструментов означает, что с их помощью любой, получивший несанкционированный доступ, может видеть экран сотрудника в режиме реального времени — включая открытые корпоративные базы данных.

Что объединяет все эти инструменты: они устанавливаются без участия ИТ-отдела, работают с полными правами пользователя, имеют сетевой доступ и практически никогда не проходят оценку рисков до начала использования.

Часть 4. Слепое пятно корпоративной безопасности

Почему существующие инструменты не работают

Архитектурная проблема состоит в том, что традиционные средства защиты корпоративной информации не проектировались с учётом внутрибраузерной угрозы. Каждый уровень защиты имеет свой слепой угол:

1. DLP-системы (Data Loss Prevention) — контролируют передачу файлов по почте, через мессенджеры, на съёмные носители. Браузерный трафик в большинстве случаев зашифрован TLS, и DLP его не инспектирует — или инспектирует на слишком высоком уровне, не замечая тонкую эксфильтрацию через расширение.
2. EDR/XDR-решения — работают на уровне процессов операционной системы. Для них браузер — единый объект, и злоумышленник, работающий через расширение, выглядит как обычная активность chrome.exe или msedge.exe [7].
3. SIEM — может зафиксировать аномальный объём исходящего трафика, но внутри зашифрованного HTTPS-потока не видит, что именно передаётся и через какой механизм.
4. Antivirus — ориентирован на исполняемые файлы и известные сигнатуры. JavaScript-код расширения, особенно обфусцированный или загружаемый динамически с внешнего сервера, практически не обнаруживается [11].
5. Политики групповых политик (GPO) — могут ограничивать установку расширений, но требуют постоянной поддержки allowlist и не дают видимости в реальном времени.

Исследования подтверждают: 75% компаний не замечают активность злоумышленников, уже действующих внутри сети [64]. Расширение, ежедневно отправляющее историю посещений и cookie-файлы, вписывается в картину «нормального» трафика — особенно если передача данных происходит на легитимный домен аналитической платформы.

Юридическое измерение в контексте 152-ФЗ

Для российских компаний угроза носит не только технический, но и регуляторный характер. Согласно Федеральному закону №152-ФЗ «О персональных данных», оператор персональных данных несёт ответственность за их защиту вне зависимости от того, через какой канал произошла утечка — через взломанную базу данных или через браузерное расширение, установленное сотрудником [17].

С 30 мая 2025 года в России действует закон №420-ФЗ, введший существенно более жёсткие санкции. За крупные инциденты (более 100 тысяч физических лиц или 1 миллиона записей ПДн) компаниям грозит штраф до 15 миллионов рублей. За повторные нарушения — оборотный штраф от 1 до 3% годовой выручки, но не менее 20 миллионов и не более 500 миллионов рублей [8].

При этом Роскомнадзор всё активнее использует ИИ-системы для мониторинга и планирует перейти к системному аудиту вместо точечных проверок. По данным исследования К2Тех, лишь 30% российских компаний реально соблюдают требования 152-ФЗ — и при этом 44% продолжают использовать иностранные облачные сервисы, создавая риски трансграничной передачи ПДн [18]. Браузерные расширения, передающие корпоративные данные на серверы зарубежных аналитических брокеров, — это именно такой случай.

Часть 5. Кейсы и реальные инциденты

Кейс 1. Cyberhaven и рождественская атака 2024 года

Это событие стало важнейшим кейсом 2024–2025 годов в мире безопасности расширений: жертвой supply chain атаки стала сама компания, специализирующаяся на защите данных. Ирония в том, что 400 000 пользователей Cyberhaven установили расширение именно для защиты данных — а в итоге именно оно стало каналом их утечки [2, 12].

Атака обнажила три системные проблемы:

1. MFA и Google Advanced Protection не защищают от OAuth consent phishing.
2. Google Web Store проверяет расширения, но не может гарантировать обнаружение обфусцированного вредоносного кода.
3. Механизм автоматического обновления расширений — мощный вектор массового распространения атаки.

Кейс 2. Zoom Stealer: корпоративный шпионаж через видеосервис

В 2025 году исследователи Koi Security выявили кампанию, приписываемую китайской кибергруппе, которая включала 18 расширений для Chrome, Edge и Firefox, замаскированных под инструменты для Zoom, Google Meet и GoToWebinar. Суммарно они набрали более 2,3 миллиона установок. Основная цель — сбор корпоративной информации: ссылок на встречи с паролями, ID конференций, расписания, списков участников [15].

Это типичный пример атаки на корпоративную коммуникацию: злоумышленник получает не просто историю браузера, а структурированные данные о деловых встречах, переговорах и стратегических обсуждениях компании.

Кейс 3. DataSpii и корпоративная разведка через аналитические расширения

Кейс DataSpii, задокументированный ещё в 2019 году, наглядно показал, что браузерные расширения могут стать инструментом корпоративного шпионажа без какого-либо явного взлома. Восемь расширений собирали историю посещений — и через эту историю аналитические компании получали доступ к корпоративным ссылкам: внутренние дашборды, незащищённые Google Docs с конфиденциальными материалами, ссылки на закрытые репозитории, внутренняя переписка в корпоративных инструментах [13].

Современный аналог этой ситуации — расширения, работающие в связке с корпоративными AI-платформами или рекламными сетями: они видят всё, что открывает сотрудник в браузере, и потенциально могут реконструировать внутренние бизнес-процессы компании.

Часть 6. Manifest V3: защита или иллюзия?

В 2024–2025 годах Google завершила переход на Manifest V3 — новый стандарт разработки расширений, Chrome 139 (июль 2025) окончательно отключил все MV2-расширения. MV3 действительно вводит ряд улучшений: event-driven service workers вместо постоянно активных фоновых страниц, ограничение прямого перехвата сетевых запросов (WebRequest API заменён на declarativeNetRequest), более строгая политика безопасности контента.

Однако исследования показывают, что MV3 не решает фундаментальную проблему: если расширение получило широкие host permissions, оно по-прежнему может делать практически всё, что умел делать пользователь в браузере. Исследователи SquareX продемонстрировали, что атаки с перехватом видеопотоков, кражей cookie и перенаправлением пользователей работают и под MV3 [11]. Атакующие 2024–2025 годов успешно обходили ограничения через внедрённые контентные скрипты и злоупотребление host permissions [46].

Принципиальное ограничение MV3: он устраняет некоторые технические векторы атак, но не влияет на социальную инженерию (phishing разработчиков), supply chain атаки и легальный сбор данных через добровольно установленные расширения.

Часть 7. Практический чек-лист для организаций

Аудит текущего состояния

1. Инвентаризируйте все расширения на корпоративных устройствах. Используйте инструменты управления браузерами (Chrome Enterprise, Microsoft Edge for Business) для получения полного реестра установленных расширений с разбивкой по пользователям и разрешениям.
2. Классифицируйте расширения по уровню риска. Красные флаги: доступ ко всем сайтам (<all_urls>), доступ к cookie, native messaging, отсутствие обновлений более полугода, разработчик с Gmail-аккаунтом без верификации.
3. Проверьте историю смены владельцев. Популярные расширения активно скупаются — важно знать, не сменилась ли команда разработчиков.
4. Проверьте разрешения на передачу данных. Какие домены расширение имеет право контактировать? Есть ли среди них коммерческие аналитические платформы или незнакомые домены?
5. Оцените соответствие 152-ФЗ. Если расширение передаёт данные на серверы за рубежом и при этом имеет доступ к ПДн (например, просматривает страницы CRM или корпоративной почты) — это потенциальное нарушение требований трансграничной передачи данных.

Организационные меры

1. Введите политику белого списка расширений. Разрешены только предварительно проверенные расширения из корпоративного реестра. Всё остальное — по запросу с обоснованием и ревью от ИТ/ИБ.
2. Разделите браузерные профили. Для работы с конфиденциальными системами — отдельный профиль или браузер без расширений. Личный браузер с расширениями — только для некорпоративного использования.
3. Фиксируйте версионирование. Версия расширения, зафиксированная в момент аудита, и его текущая версия могут существенно различаться по функциональности.
4. Настройте мониторинг сетевых коммуникаций расширений. Даже без DPI (Deep Packet Inspection) можно вести журнал доменов, к которым обращается каждый браузерный процесс.
5. Обучайте сотрудников. Особое внимание — типичным векторам атак на разработчиков и администраторов: OAuth consent phishing, письма от «Chrome Web Store» о нарушениях политик.

Технические меры для зрелых организаций

1. Рассмотрите enterprise browser-решения. Инструменты типа LayerX, Island или аналоги обеспечивают централизованную видимость и контроль над всеми расширениями во флоте устройств.
2. Настройте Group Policy для ограничения установки расширений в Chrome и Edge. Запретите установку расширений вне корпоративного магазина расширений.
3. Для критичных систем — используйте изолированные окружения. Remote Browser Isolation (RBI) — технология, при которой браузер выполняется в защищённом облачном контейнере: расширения не имеют доступа к корпоративным ресурсам.
4. Интегрируйте анализ расширений в процесс управления активами. Расширение — это тоже ПО, которое должно проходить оценку рисков наравне с другими корпоративными приложениями.

Часть 8. Ошибки и риски: как не навредить себе при попытке защититься

1. Ошибка: полная блокировка всех расширений без allowlist. Приводит к массовому использованию личных устройств и личных браузеров для рабочих задач, что создаёт риски ещё большей потери видимости.
2. Ошибка: однократный аудит без мониторинга изменений. Расширение, безопасное в момент проверки, может стать вредоносным после следующего обновления — как в случае с WeTab или расширениями Cyberhaven.
3. Ошибка: ставка только на технические меры без обучения. Атаки через OAuth consent phishing успешны именно потому, что технически грамотные люди (разработчики, сотрудники ИТ-отделов) не распознают угрозу, замаскированную под стандартный рабочий процесс.
4. Ошибка: доверие бейджу «Featured» или высокому рейтингу. FreeVPN.One с бейджем Featured в Chrome Web Store делал скриншоты каждой страницы. 87 миллионов установок вредоносных расширений, выявленных исследователем Владимиром Палантом, — все имели хорошие оценки [19].
5. Ошибка: игнорирование desktop-helpers. Сотрудники устанавливают десятки вспомогательных программ, и большинство из них никогда не проходили ИБ-ревью. Каждая из них — потенциальный канал утечки.
6. Ошибка: рассматривать расширения как «проблему пользователей». По 152-ФЗ ответственность лежит на операторе ПДн — то есть на организации, — вне зависимости от того, через какой механизм произошла утечка [17].

Часть 9. Тренды: что будет происходить дальше

По данным исследований и инцидентов 2024–2025 годов, можно выделить несколько устойчивых тенденций:

Рост AI-ориентированных атак. Генеративный ИИ активно используется для написания убедительных phishing-писем, создания расширений с правдоподобным функционалом и обфускации вредоносного кода. Одновременно сотрудники массово устанавливают AI-расширения, передающие содержимое страниц сторонним моделям [9].

Профессионализация supply chain атак. Атака декабря 2024 года показала, что злоумышленники способны координировать компрометацию десятков расширений одновременно, таргетируя разработчиков через профессиональные каналы (LinkedIn, форумы сообществ) [2].

LinkedIn как плацдарм для разведки о расширениях. В феврале 2026 года стало известно, что LinkedIn сканирует более 6 167 расширений, установленных в браузерах своих пользователей — данные о наличии конкретных расширений используются для цифровой идентификации [20].

Ужесточение регулирования в России. Роскомнадзор переходит от точечных проверок к системному мониторингу, а новые санкции по 420-ФЗ создают принципиально иной уровень финансового риска. Компании, не выстроившие контроль над каналами передачи ПДн — включая браузерные расширения — рискуют оказаться в центре регуляторных событий [8, 10].

Включение тактики браузерных расширений в MITRE ATT&CK. Весной 2025 года тактика T1176.001 (Browser Extensions) была официально включена в матрицу MITRE ATT&CK, что означает признание угрозы на уровне стандарта индустрии [21].

Заключение: что делать дальше

Браузерные расширения и desktop-helpers сформировали новую поверхность атаки, которая не вписывается в традиционную модель корпоративной безопасности. Они работают в слепой зоне между пользователем и корпоративными данными — с полным доступом к обеим сторонам, но практически без надзора.

Для организаций в России это двойной риск: технический (утечка данных, компрометация сессий, корпоративный шпионаж) и регуляторный (нарушение 152-ФЗ, штрафы по 420-ФЗ, оборотные санкции за повторные инциденты).

Первые шаги, которые стоит предпринять уже сейчас:

1. Провести полную инвентаризацию расширений на корпоративных устройствах — большинство компаний не имеют даже этих базовых данных.
2. Ввести политику белого списка расширений и закрепить её в корпоративных нормативных документах.
3. Включить браузерные расширения и desktop-helpers в модель угроз при очередном пересмотре системы защиты ПДн.
4. Обучить сотрудников, в первую очередь тех, кто имеет доступ к корпоративным системам с ПДн.

О решении «Пятый фактор»: контроль там, где данные появляются, а не где они уже утекли

Описанная выше проблема — это частный случай более широкой задачи: компании не знают, где у них находятся персональные данные и как они перемещаются. Браузерное расширение получает доступ к ПДн потому, что сотрудник открывает в браузере страницы CRM, корпоративной почты или внутренней базы данных. Чтобы понять, какие данные реально рискуют через этот канал, нужно сначала знать — а где вообще в организации хранятся персональные данные, кто к ним имеет доступ и что с ними происходит.

Именно эту задачу решает платформа «Пятый фактор» — on-prem решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах, почте, Active Directory/LDAP, CRM, 1С и API.

Ключевой принцип работы — privacy-by-design: платформа анализирует метаданные, структуру и агрегаты, не передавая и не сохраняя «сырые» значения ПДн. Это означает, что само решение не становится дополнительным источником риска — что особенно важно в контексте угроз, которые мы рассмотрели в этой статье.

Что это даёт в контексте угроз от расширений:

• Живая «карта ПДн» показывает, в каких именно системах и таблицах хранятся персональные данные. Зная это, можно точно определить, доступ к каким системам через браузер создаёт наибольший риск.
• Контроль изменений позволяет оперативно обнаружить появление новых полей с ПДн, новых интеграций или источников данных — до того, как это станет инцидентом.
• Готовность к проверкам Роскомнадзора: вместо недель аудита вручную — актуальная картина состояния ПДн в любой момент.

В условиях, когда каждое обновление браузерного расширения потенциально открывает новый канал утечки, контроль персональных данных должен быть непрерывным процессом, а не разовой задачей раз в год. Именно это и обеспечивает «Пятый фактор».

Источники

[1] Enterprise Browser Extension Security Report 2025, LayerX — https://thehackernews.com/2025/04/majority-of-browser-extensions-can.html

[2] Cyberhaven: Chrome Extension Security Incident, декабрь 2024 — https://www.cyberhaven.com/blog/cyberhavens-chrome-extension-security-incident-and-what-were-doing-about-it

[3] «Лаборатория Касперского»: 57 подозрительных расширений Chrome с 6 млн установок, май 2025 — https://www.kaspersky.ru/blog/suspicious-chrome-extensions-with-6-million-installs/39700/

[4] Q Continuum: 287 Chrome Extensions Data Leak Research, февраль 2026; Security researcher finds 287 Chrome extensions leaking data, The Register — https://www.theregister.com/2026/02/11/security_researcher_287_chrome_extensions_data_leak/

[5] Роскомнадзор: в первой половине 2025 года зафиксировано 35 фактов утечек, более 39 млн записей, Хабр — https://habr.com/ru/news/924602/

[6] InfoWatch ЭАЦ: Россия заняла второе место по числу инцидентов с компрометацией данных в мире, ComNews — https://www.comnews.ru/content/238391/2025-03-20/2025-w12/1010/rossiya-zanyala-vtoroe-mesto-kolichestvu-utechek-dannykh-mire

[7] Browser Extension Security: Defending Against Excessive Permissions, Island.io — https://www.island.io/browser-extension-security/browser-extension-security-defending-against-excessive-permissions

[8] Оборотные штрафы за утечку персональных данных; ФЗ №420-ФЗ от 30.11.2024 — https://docshell.ru/blog/novosti/oborotnye-shtrafy-za-utechku-personalnyh-dannyh

[9] Browser Security Report 2025, LayerX; аналитика по GenAI и расширениям — https://thehackernews.com/2025/11/new-browser-security-report-reveals.html

[10] Роскомнадзор: 135 утечек, 710 млн записей в 2024 году; РИА Новости, февраль 2025 — https://ria.ru/20250227/roskomnadzor-2002006660.html

[11] SquareX: DEF CON 32 демонстрация атак через Manifest V3; Malicious Chrome Add-ons Evade Google's Updated Security, Dark Reading — https://www.darkreading.com/cyber-risk/malicious-chrome-extensions-past-google-updated-security

[12] Targeted Supply Chain Attack Against Chrome Browser Extensions, декабрь 2024, Sekoia.io — https://blog.sekoia.io/targeted-supply-chain-attack-against-chrome-browser-extensions/

[13] DataSpii: The Catastrophic Data Leak via Browser Extensions — https://dataspii.com/

[14] Socket: 5 Malicious Chrome Extensions Enable Session Hijacking, январь 2026 — https://socket.dev/blog/5-malicious-chrome-extensions-enable-session-hijacking

[15] Миллионы пользователей браузеров стали жертвами расширений-шпионов (Koi Security, WeTab, Zoom Stealer), Anti-Malware.ru — https://www.anti-malware.ru/news/2026-01-01-111332/48616

[16] Major Data Breaches 2024: AnyDesk, Help Net Security — https://www.helpnetsecurity.com/2024/07/16/data-breaches-2024/

[17] Федеральный закон №152-ФЗ «О персональных данных», КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_61801/

[18] К2Тех: только 30% российских компаний соответствуют требованиям 152-ФЗ, ComNews — https://www.comnews.ru/content/242381/2025-11-18/2025-w47/1008/podavlyayuschee-bolshinstvo-rossiyskikh-kompaniy-ne-soblyudaet-zakon-o-personalnykh-dannykh

[19] «Лаборатория Касперского»: десятки вредоносных расширений с 87 млн загрузок в Chrome Web Store — https://www.kaspersky.ru/blog/dangerous-chrome-extensions-87-million/35676/

[20] LinkedIn BrowserGate: сканирование 6 167 расширений, The Next Web — https://thenextweb.com/news/linkedin-browsergate-extension-scanning-privacy-fingerprint

[21] MITRE ATT&CK T1176.001 Browser Extensions; аналитика Angara Security, Хабр — https://habr.com/ru/companies/angarasecurity/articles/979302/