Você provavelmente instalou a VPN no navegador para evitar rastreamento, mas a extensão fez exatamente o oposto. Pesquisadores da Koi Security descobriram que a Urban VPN Proxy – um add-on para Chrome e Edge com mais de 6 milhões de usuários e o cobiçado selo “Recomendado pelo Google” – passou os últimos seis meses capturando tudo o que os internautas digitavam em ChatGPT, Gemini, Claude e outros seis chatbots populares. As conversas, recheadas de perguntas médicas, dados financeiros e até trechos de código proprietário, foram empacotadas e vendidas a corretores de dados.
Como a espionagem começou – e por que você não percebeu
O código malicioso chegou de fininho na atualização 5.5.0, distribuída em 9 de julho de 2025. Como Chrome e Edge atualizam extensões em segundo plano, ninguém recebeu pop-up de consentimento. Bastou abrir o navegador na manhã seguinte para ter um “espião” no PC.
Ao todo, oito extensões da mesma desenvolvedora aplicaram o golpe, incluindo 1ClickVPN Proxy (636 mil instalações) e Urban Browser Guard (52 mil). Todas ostentavam certificados de confiança das lojas do Google e da Microsoft, um alerta vermelho sobre como selos de “Recomendado” não são garantia de segurança.
O que exatamente foi coletado?
Arquivos com nomes inocentes como chatgpt.js e claude.js se infiltravam no navegador e substituíam funções de rede. O script interceptava:
- Todo prompt enviado ao chatbot;
- A resposta completa da IA;
- Horário e duração da conversa;
- Qual modelo de IA (GPT-4o, Gemini 1.5, Claude Opus, etc.) estava em uso.
Essas informações eram comprimidas, enviadas para servidores da Urban VPN e, depois, revendidas a empresas de marketing. Nem mesmo desligar a VPN impedia a captura; os scripts rodavam 100% do tempo.
Impacto prático: do gamer ao desenvolvedor
Se você pesquisa setups de PC gamer, define orçamento e lista peças (RTX 4070, Ryzen 7, teclados mecânicos, mouses ergonômicos) dentro do ChatGPT, tudo foi potencialmente vazado. Desenvolvedores que testaram código proprietário ou profissionais que tiraram dúvidas sobre contratos sigilosos também ficaram expostos.
Para leitores que pretendem comprar hardware: concorrentes e anunciantes podem ter acesso antecipado ao que você pretende adquirir, impactando preços dinâmicos e ofertas personalizadas. É o oposto da privacidade que uma VPN promete.
Por que as lojas oficiais não detectaram?
Segundo especialistas, a validação de extensões acontece apenas na submissão inicial. Quando o desenvolvedor publica uma atualização, o processo é majoritariamente automatizado. Portanto, basta introduzir o código espião em uma versão posterior para ultrapassar a triagem.
Imagem: William R
A política de privacidade da Urban chega a citar a coleta de entradas e respostas de IA “para fins analíticos”, mas a descrição na Chrome Web Store garante que “não vendemos seus dados”. A contradição permanece sem explicação; Google, Microsoft, OpenAI e Urban Cyber Security não se pronunciaram.
Como se proteger agora
1. Desinstale imediatamente Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker e qualquer extensão da Urban Cyber Security.
2. Faça auditoria mensal nas extensões: mantenha só o que for essencial e bem-avaliado.
3. Prefira VPNs independentes, com software próprio (cliente para Windows/macOS) ou apps móveis transparentes. A ExpressVPN, NordVPN e Proton VPN publicam auditorias de terceiros sobre seu código.
4. Use gerenciadores de senha e autenticação em dois fatores para minimizar danos caso dados sensíveis tenham vazado.
5. Considere navegadores focados em privacidade (Brave, Firefox) e habilite bloqueio nativo a trackers.
E se minhas conversas já estiverem nas mãos erradas?
Especialistas recomendam assumir que tudo o que você digitou desde julho de 2025 foi comprometido. Quem compartilhou informações de cartão de crédito, CPF ou dados de clientes deve:
- Alterar senhas e chaves de API imediatamente;
- Solicitar alerta de fraude nos principais bureaus de crédito;
- Notificar o departamento jurídico ou de TI, se a conta for corporativa.
Lição aprendida
A notícia serve de lembrete: VPN é ferramenta, não selo de mágica. Antes de instalar, avalie origem, modelo de negócios e histórico da empresa. Se o serviço é gratuito e promete “largura de banda ilimitada”, pergunte-se como eles pagam as contas.
Para quem acompanha hardware e busca montar ou atualizar o setup, vale reforçar a máxima: segurança digital é peça tão importante quanto placa-mãe ou fonte de alimentação. Afinal, não adianta ter a RTX dos sonhos se seus dados correm sem proteção pela internet.
Com informações de Hardware.com.br
