- यह पुष्टि हुई है कि Urban VPN Proxy समेत 8 browser extensions ने AI प्लेटफ़ॉर्म की बातचीत एकत्र कर बेची
- ये extensions ChatGPT, Claude, Gemini, Copilot समेत 10 AI services की conversation data अपने-आप एकत्र करते हैं, और उपयोगकर्ता के पास इसे बंद करने का कोई विकल्प नहीं है
- data collection VPN feature से असंबंधित रूप से background में लगातार चलता है, और सभी prompts, responses, timestamps, session information भेजी जाती है
- ऑपरेटर Urban Cyber Security Inc. और उसकी सहयोगी कंपनी BiScience इस data को marketing analytics के लिए third parties को बेचती हैं
- Google और Microsoft के ‘Featured’ badge verification से गुज़रे extensions महीनों तक वितरित होते रहे, जिससे user protection system की कमियां उजागर हुईं
यह कैसे सामने आया
- Koi के Wings AI risk engine ने ऐसे browser extensions खोजे जो AI conversation data को बाहर भेज सकते थे; उम्मीद के विपरीत, बड़े user base वाला Urban VPN Proxy शीर्ष परिणामों में था
- Urban VPN Proxy एक free VPN extension है जिसके 60 लाख से अधिक users, 4.7 rating, और Google ‘Featured’ badge हैं, और यह privacy का दावा करता है
- जांच में पाया गया कि यह extension AI platform conversations की निगरानी feature को default रूप से enabled रखकर वितरित किया गया
data collection का तरीका
- extension VPN connected हो या नहीं, लगातार data collect करता है
- जब उपयोगकर्ता ChatGPT, Claude, Gemini जैसे AI sites पर जाता है, तो यह dedicated scripts (
chatgpt.js, claude.js आदि) inject करता है
- ये scripts
fetch() और XMLHttpRequest को override करके सभी network requests और responses को intercept करती हैं, और prompts, responses, conversation ID, timestamps निकालती हैं
- निकाला गया data
window.postMessage के जरिए content script तक पहुंचाया जाता है, फिर background worker इसे Urban VPN servers (analytics.urban-vpn.com आदि) पर भेजता है
- collected items में सभी inputs और outputs, session metadata, और used model information शामिल हैं
version timeline
- version 5.5.0 से पहले AI collection feature मौजूद नहीं था
- 9 जुलाई 2025 को जारी version 5.5.0 से AI conversation collection default रूप से enabled हो गया
- इसके बाद automatic updates के जरिए existing users के लिए भी बिना अलग consent के data collection code जोड़ दिया गया
- जुलाई 2025 के बाद Urban VPN install होने की स्थिति में AI services इस्तेमाल करने वाले users की बातचीत server पर store हुई और third parties के साथ share की गई मानी जानी चाहिए
‘AI protection’ feature की हकीकत
- extension description में लिखा है कि “AI protection feature personal information leaks को रोकता है और risky links के बारे में warning देता है”
- लेकिन actual code analysis से पता चला कि warning feature और data collection feature अलग-अलग काम करते हैं, और warning बंद करने पर भी collection जारी रहता है
- extension उपयोगकर्ता के email और phone number sharing पर warning देता है, जबकि उसी समय वही data Urban VPN server पर भेजता भी है
- यानी यह protection के नाम पर data extraction structure निकला
वही code कई extensions में
- वही AI collection code 7 अन्य extensions में भी मिला
- Chrome: Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker
- Edge: वही 4 प्रकार
- कुल 80 लाख से अधिक users प्रभावित हुए
- ये extensions VPN, ad blocker, security helper जैसी अलग-अलग categories का रूप धारण करते हैं, लेकिन एक ही surveillance backend साझा करते हैं
- इनमें से अधिकांश के पास Google·Microsoft stores के ‘Featured’ badges हैं, इसलिए वे user trust के साथ वितरित हुए
ऑपरेटर और data flow
- Urban VPN का संचालन Urban Cyber Security Inc. करती है, जो data broker BiScience (B.I Science Ltd.) से संबद्ध है
- BiScience पहले भी clickstream data collection और resale के कारण security researchers का ध्यान खींच चुका है
- BiScience AdClarity, Clickstream OS जैसे products के जरिए collected data का commercialization करता है
- यह मामला browsing history collection से AI conversation collection तक विस्तार का उदाहरण है
- privacy policy में स्पष्ट लिखा है कि “collected web browsing data को BiScience के साथ share किया जाता है और commercial insights के लिए उपयोग किया जाता है”
users को सूचना देने की समस्या
- install के समय दिखने वाले consent popup में “ChatAI communication processing” का उल्लेख है, लेकिन AI conversation collection का उद्देश्य साफ़ तौर पर नहीं बताया गया
- privacy policy में “AI input और output data को marketing analysis purposes के लिए disclose किया जाता है” जैसी पंक्ति शामिल है
- इसके उलट Chrome Web Store description में लिखा है कि “data third parties को बेचा नहीं जाता”, यानी विरोधाभासी जानकारी दी गई
- जुलाई 2025 से पहले install करने वाले users को नया consent popup दिखाए बिना auto update से collection feature जोड़ दिया गया
- users के पास सिर्फ AI collection को disable करने का विकल्प नहीं है; VPN बंद करने या protection feature बंद करने पर भी collection जारी रहता है
Google की verification समस्या
- Urban VPN Proxy के पास Google Chrome Web Store का ‘Featured’ badge है
- Google कहता है कि यह badge “उन extensions को दिया जाता है जो technical best practices और high user experience standards को पूरा करते हैं”
- यानी Google manual review pass करने की स्थिति में भी AI conversation collection code शामिल था
- Chrome Web Store policy data brokers या advertising platforms को user data transfer करने से रोकती है, लेकिन BiScience खुद को data broker बताता है
- इसके बावजूद extension अब भी store में listed है
निष्कर्ष और सिफारिश
- browser extensions के पास व्यापक permissions और automatic update capability होती है, इसलिए उन पर बहुत अधिक trust की आवश्यकता होती है
- यह मामला 80 लाख users के sensitive AI conversation data को ‘security’ के नाम पर collect और sell किए जाने की घटना है
- इसे Google और Microsoft की verification systems का ऐसा उदाहरण बताया गया है, जिसने user protection से ज़्यादा false sense of trust पैदा किया
- users को Urban VPN और इससे जुड़े extensions तुरंत uninstall करने चाहिए, और जुलाई 2025 के बाद की AI conversations के third parties के साथ share होने की संभावना मानकर चलना चाहिए
IOC(Indicator of Compromise)
- Chrome: Urban VPN Proxy (eppiocemhmnlbhjplcgkofciiegomcon), Urban Browser Guard (almalgbpmcfpdaopimbdchdliminoign), Urban Ad Blocker (feflcgofneboehfdeebcfglbodaceghj), 1ClickVPN Proxy (pphgdbgldlmicfdkhondlafkiomnelnk)
- Edge: Urban VPN Proxy (nimlmejbmnecnaghgmbahmbaddhjbecg), Urban Browser Guard (jckkfbfmofganecnnpfndfjifnimpcel), Urban Ad Blocker (gcogpdjkkamgkakkjgeefgpcheonclca), 1ClickVPN Proxy (deopfbighgnpgfmhjeccdifdmhcjckoe)
अभी कोई टिप्पणी नहीं है.