Este script intercetava todo o tráfego, extraindo os prompts enviados, as respostas recebidas, carimbos de data/hora e metadados da sessão.

A informação era depois comprimida e enviada para os servidores da Urban VPN.

O aspeto mais insidioso era a sua persistência, pois a recolha de dados estava ativa por defeito e funcionava continuamente em segundo plano, independentemente de a VPN estar ligada ou desligada. A investigação revelou que a Urban VPN é operada pela Urban Cyber Security Inc., uma empresa afiliada à corretora de dados BiScience, indicando que os dados desviados estavam a ser vendidos para fins de análise de marketing. A extensão possuía um selo de “Destaque” da Google e uma classificação elevada, o que transmitia uma falsa sensação de segurança aos utilizadores, cuja recomendação agora é a desinstalação imediata.