История 1 про безопасность: Cоздаю себе аккаунт в некоторой условной социальной сети, ввожу телефон и email. В настройках безопасности: отображать контактные данные только друзьям.
Через пару дней на email \ телефон начинает приходить спам. Что происходит? Соц. сеть продает мои данные? Она взломана?
На самом деле все куда как проще. У пользователя стоит плагин, который делает какую-то полезную штуку для него. Но в фоне, она внедряет ContentScript на страницу, который при загрузке страницы или по MutationObserver ищет телефоны и email на странице.
Затем передает это в BackgroundScript, который уже отправляет наши контакты в спам-базы, причем с именем, фамилией и кличкой домашнего животного :)
Самое грустное в этой истории, что отследить, что твой сайт кто-то "парсит" таким способом — практически нереально. Все вызовы происходят в Content Script, который исполняется в специальном environment — isolated world, о нем я расскажу чуть позже