Google heeft een kritisch lek in de browser Chrome bevestigd. Kwaadwillenden kunnen via malafide extensies meekijken met wat gebruikers doen. Het probleem speelt wereldwijd en raakt ook Nederlandse organisaties. Het is urgent, omdat het privacyrisico’s vergroot en misbruik in de praktijk mogelijk maakt.
Lek vergroot extensierisico
Het lek maakt het eenvoudiger voor schadelijke extensies om toegang te krijgen en surfgedrag te volgen. Extensies zijn kleine programma’s in de browser die functies toevoegen, zoals adblockers of wachtwoordhulpen. Door fouten in de beveiliging kunnen rechten breder uitpakken dan bedoeld.
Chrome draait op de open broncode van Chromium. Delen van die code zitten ook in andere browsers, zoals Microsoft Edge. Daardoor kan de impact groter zijn dan alleen Chrome-gebruikers.
Kwaadwillenden mikken op gegevens die in de browser leven, zoals bezochte websites en formulierdata. Dit kan leiden tot profilering, gerichte phishing en diefstal van sessies of werkaccounts.
Een browserextensie is een klein programma dat in de browser draait en de mogelijkheden uitbreidt. Het krijgt toegang tot data waarvoor de gebruiker of het systeem toestemming geeft.
Update en beperk rechten
Google rolt een beveiligingsupdate uit via het Stable-kanaal. Gebruikers kunnen handmatig controleren via Help > Over Google Chrome of door chrome://settings/help te openen. Zet automatische updates aan en herstart de browser voor het fixen van het lek.
Controleer daarna alle geïnstalleerde extensies. Verwijder wat u niet gebruikt en let op brede machtigingen zoals “Lezen en wijzigen van alle websites”. Installeer bij voorkeur alleen via de Chrome Web Store en vermijd sideloading.
Organisaties kunnen in het Google-beheer of via Microsoft Intune een allowlist instellen. Zet standaard blokkades aan voor onbekende extensies en log welke extensies worden gebruikt. Dit verkleint de kans op datalekken door schaduw-IT.
AVG verplicht organisaties tot actie
Het lek raakt direct aan de AVG, die dataminimalisatie en passende beveiliging eist. Als browserdata of accounttokens uitlekken, kan dat een datalek zijn dat binnen 72 uur gemeld moet worden. Dit geldt ook voor scholen, gemeenten en zorginstellingen die met privacygevoelige data werken.
Beperk persoonsgegevens in de browser, bijvoorbeeld door geen cliëntgegevens in webformulieren te kopiëren. Zet waar mogelijk versleutelde sessies en extra verificatie aan. Documenteer maatregelen in het verwerkingsregister en herzie DPIA’s waar webapps of extensies in scope zijn.
Europese toezichthouders letten extra op tracking en profilering. Onbevoegde gegevensverzameling door extensies kan als onrechtmatige verwerking gelden, ook bij vermeende “technische noodzaak”. Toestemming moet vrij, specifiek en geïnformeerd zijn.
Google scherpt controles aan
Google verwijdert regelmatig malafide extensies uit de Chrome Web Store. Met Manifest V3 probeert het bedrijf machtigingen te beperken en externe code te blokkeren. Dit maakt misbruik lastiger, maar het haalt risico’s niet weg.
Beveiligingslekken ontstaan ook in de browserkern, zoals in de JavaScript‑ en renderprocessen. Zulke fouten kunnen machtigingsgrenzen omzeilen. Daarom blijven snelle updates en goede instellingen noodzakelijk.
Voor bedrijven biedt Chrome Enterprise beleidsregels om extensies te beheren en gevoelige sites af te schermen. Combineer dit met netwerkbeveiliging en endpointdetectie. Zo worden verdachte extensies en datastromen sneller zichtbaar.
AI-profielen en misbruik
Gegevens uit de browser zijn waardevol voor advertentieprofielen en fraudescenario’s. Met kunstmatige intelligentie kunnen aanvallers gedrag analyseren en geloofwaardige phishing op maat maken. Dit vergroot de impact van een enkel lek.
De Europese AI-verordening zet grenzen aan risicovol gebruik, zoals manipulatie en sociale scoring. Toch valt datadiefstal door extensies vooral onder de AVG en e-privacyregels. Organisaties moeten dus zowel security als privacyprocessen op orde hebben.
Beperk datadeling met externe scripts en trackers in webapps. Gebruik content security policies en scheid werk- en privéprofielen. Zo verkleint u het trainingsmateriaal waarop kwaadwillende algoritmen kunnen teren.
Nederlandse praktijk en advies
In Nederland gebruiken veel organisaties Chrome of andere Chromium-browsers. Daardoor kan dit lek ook de overheid, zorg en onderwijs raken. Het Nationaal Cyber Security Centrum adviseert standaard: update snel en minimaliseer rechten.
IT-afdelingen kunnen tijdelijke scans uitvoeren op risicovolle extensies en verdachte domeinen. Zet alerts aan voor afwijkend aanmeldgedrag in Microsoft 365 en Google Workspace. Forceer waar mogelijk hardware‑MFA om sessiekaping te dempen.
Voor burgers geldt een simpel stappenplan: update, verwijder onnodige extensies, controleer machtigingen en zet wachtwoorden opnieuw als u iets verdachts ziet. Zo blijft schade beperkt, ook als een extensie toch misbruik probeert te maken.
