沉浸式翻译（Immersive Translat） 快照功能致大规模数据泄露

近日，广受欢迎的浏览器翻译扩展程序 Immersive Translate 卷入了一场严重的数据泄露事件。大量包含用户敏感信息的“网页快照”被发现在互联网上公开暴露，其中不乏商业合同、个人身份信息乃至加密货币私钥等高价值数据。一份约 559.6MB、名为 readit.site.tar.zst 的压缩文件已在网上流传，其中包含了从该服务泄露的快照数据。

事件的核心并非传统黑客攻击，而源于该扩展程序一项名为“网页快照”的功能存在严重的设计缺陷。

公开分享的致命代价

根据调查，Immersive Translate 的快照功能旨在帮助用户将翻译后的网页生成一个独立的网页链接，以便分享。然而，这些生成的链接默认是公开的，并且没有任何访问密码或加密措施。这种设计直接导致了搜索引擎的爬虫可以轻松抓取这些快照页面的内容，并将其公开索引，任何知道链接的人都可以直接访问。

该扩展的开发者 Oven-Chan 在事后发布的官方声明中承认，其“严重低估了用户会用它来分享私密内容的可能性”。这一疏忽是导致此次危机的直接原因。当用户为了方便，将包含机密信息的内部文档或个人隐私内容通过此功能进行翻译和“快照”时，无异于亲手将这些数据公之于众。

更深层次的问题在于，当用户选择第三方在线翻译服务（包括各类 AI 翻译）时，原始文本数据必须被发送到服务商的服务器进行处理。这意味着，即使用户不生成快照，敏感数据也已经历了一次潜在的泄露环节。而快照功能的缺陷，则让这种潜在风险变成了公开、永久的数据暴露。

开发者的补救与反思

事件曝光后，Immersive Translate 的开发团队采取了一系列紧急补救措施。官方声明称，团队已经禁用了所有旧的、不安全的快照链接，并为新的快照功能紧急增加了密码保护选项，用户现在可以创建需要密码才能访问的私密快照。同时，在功能界面添加了醒目的安全警告，提醒用户不要处理敏感数据。

此次事件再次敲响了警钟：在软件开发中，“便利性”绝不能以牺牲“默认安全”为代价。对于处理用户数据的工具而言，开发者负有首要责任，需要预见潜在的滥用场景，并将安全设计作为产品核心功能的一部分，而非事后弥补的附加项。强制密码、链接有效期、明确的隐私提示等，都应是标准配置。

对于广大用户而言，这也再次凸显了提升个人数字安全意识的必要性。在处理任何敏感信息时，都应优先选择可完全离线运行的工具，并对任何需要连接互联网的服务保持警惕。毕竟，数据一旦泄露到公开的互联网上，就几乎不可能被彻底清除。