De ‘bug’ werd eind vorige week ontdekt door beveiligingsonderzoeker Krzysztof Kotowicz, die zijn bevindingen uitgebreid beschreef in een blog.

In het artikel, waarin de Pool regelmatig de vergelijking met PRISM-afluisterschandaal trekt, legt Kotowicz uit dat de extensie voor de browser Chrome zich schuldig maakt aan het lekken van al het verkeer dat gebruikers over SSL bezoeken aan Amazon. Ook wordt de content van bepaalde sites doorgesluisd naar de dienst Alexa, waaronder zoekopdrachten die in HTTPS worden uitgevoerd. Alexa is een dochterbedrijf van Amazon.

De bevindingen worden in een contra-expertise door Heise.de bevestigd en zouden ook voor de 1Button-extensie voor Firefox gelden. Gebruikers kunnen de extensie voor de populaire browsers downloaden om sneller te zoeken in de collectie van Amazon en prijzen van retailers te vergelijken, maar Kotowicz raadt dat op dit moment ten zeerste af. “Extreem privé-informatie wordt over plaintext HTTP verstuurd. WTF, Amazon?”

Nadat de onderzoeker zijn exploitcode op GitHub publiceerde, bracht Amazon een update uit waardoor gebruikersgedrag dat bijgehouden wordt via de plugin niet via HTTP, maar via HTTPS naar het moederbedrijf wordt verstuurd. Amazon heeft verder nog niet inhoudelijk op de ontdekking van Kotowicz en Heise gereageerd.