关键账户环境慎用浏览器插件

跨境电商公司的主管小G，最近陷入了很大的困惑中：这段时间深圳公司外网流量猛增，让整个公司上网很慢。

外网流量是非常昂贵的，要增加的话是很大一笔成本。最关键的问题是：公司业务和人员最近都很平稳，为什么有这么大的增幅？是有病毒或者黑客吗？

在网管的协助下，定位了几台流量异常的电脑。在公司还没上班的空闲时段，流量都能跑到十几个G，最夸张的一台电脑，每天下载流量60多个G，上传竟然也达到了60多个G，怪不得整体网络如此拥堵。

据使用者描述，由于需要远程管理广告账户，电脑一般是不关的。网管检查后发现，电脑上没有异常的程序，流量来自于浏览器的插件。

插件？小G一脸的疑惑，难道是插件读取了电脑上的信息，然后上传出去了？对此网管就无能为力了，最后小G来咨询做为公司顾问的我。

我给他解释了下，由于安全性限制原因，插件是不能读取硬盘上文件的，也不能读取授权网址外的内容，听到我的解释，小G稍微安心了些，但是接下来的解释让他吓出一身冷汗。

但是它能读取当前账户的所有内容，远远不是当前已经打开的页面。

例如Facebook广告账户，我们可以将API权限授权给其他程序，以完成广告数据读取，广告发布等各种功能，这种是明确经过授权，确认被授权对象拥有相关的权限。

而当前的插件，使用的是当前账户登录者的身份，拥有登录者所有的权限，无需授权，并且页面token的权限要大于API授权的token，也就意味着：如果当前登录者是账户管理员，他们将可以读取所有的账户及关联账户的广告报告信息，甚至可以管理员身份发布广告，进行pixel分享等各种高等级操作，甚至可以将你的广告账户暗地里授权给其他账户。

因此当前浏览器表面看起来波澜不惊，后台上却是开足了马力疯狂操作。对于一个大点的广告账户，广告数据和素材达到60多个G并不出奇，也就不能理解为什么还有60多G几乎等量的上传-数据被传出去了。

插件卸载后流量恢复了正常。

有很多诱人的插件，以各种提升广告效果，并且免费的名义诱惑用户，这种大家一定要擦亮眼睛。就算要用，也要放在一个空的，非常小权限的账户上测试下。
免费的一般是最贵的，因为收费的是为功能付费，而免费的，却可能是以“灵魂”为代价。

（来源：花总）

以上内容属作者个人观点，不代表雨果跨境立场！本文经原作者授权转载，转载需经原作者授权同意。​