Según expertos, en algunas webs hay páginas privadas con enlaces únicos, que muestran los tokens en la URL, es decir que si la extensión obtiene la URL, puede acceder posteriormente desde otra PC y obtener datos o archivos privados.
El investigador que descubrió el engaño aseguró que en los últimos 7 meses se robaron: archivos adjuntos y fotos de Facebook y Facebook Messenger, incluso imágenes que eran privadas; videos de cámaras de seguridad alojados en Nest y otros servicios similares, documentos almacenados en OneDrive, patentes de autos y su vinculación con nombres y direcciones; nombres de pacientes y a qué médico visitaron, e itinerarios de viajes.
Para descubrir el engaño, Sam Jadali, fundador de Host Duplex, notó que había URL de mensajes privados en Nacho Analytics, y advirtió que había extensiones filtrando datos, así que comenzó a probar métodos para identificarlas.
