The popular reputation scoring service Web of Trust (WoT) appears to be complicit in identity theft.  According to a German report, extremely personal details of WoT users have been made available, including:

  • Browser surfing activity including all sites visited
  • Mailing address
  • Drug consumption
  • Sexual preferences
  • Confidential company information
  • And much more

According to the NDR research report, the 140 million WoT users were literally being spied upon:

Eine zentrale Rolle spielen offenbar kostenlose Zusatzprogramme mit einer versteckten Ausspähfunktion. In den Recherchen des NDR fiel etwa eine Browser-Erweiterung der Firma “Web of Trust” (WOT) auf. WOT bietet eigentlich einen Service an, der dem Nutzer dabei helfen soll, sicher zu surfen: Die Erweiterung prüft die Integrität von Webseiten, bewertet besuchte Seiten anhand eines Ampel-Systems im Hinblick auf Sicherheit.

Im Hintergrund protokolliert und übermittelt die Erweiterung aber auch die Daten zum Surf-Verhalten des Nutzers an einen Server im Ausland. Dort wird ein Profil erstellt, bei dem Datum, Uhrzeit, Ort und angesteuerte Web-Adresse gemeinsam mit einer Nutzer-Kennung abgespeichert werden. Diese Daten gehen dann an Zwischenhändler.

Translation

Free additional programs with a hidden spying function obviously plays a central role; in the searches of the NDR a browser extension of the company “Web of Trust” (WOT) occurred. WOT offers a service that is designed to help the user navigate securely: the extension checks the integrity of web pages, evaluates pages visited by a traffic light system with regard to security.

In the background, however, the extension also logs and transmits the data about the surfing behavior of the user to a server abroad. A profile is created where the date, time, location, and controlled web address are stored together with a user ID. This data then goes to intermediaries.

This situation serves as a warning to all: be aware of the background of free software.  Our company was founded by a world-renowned cryptographer.  It’s always important to know the background of other companies before trusting their offerings.