Разве применение скриптов в браузере не ограничено средой самого браузера?
Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.
Про поля ввода это понятно. Но ведь помимо того что нужно считать информацию из полей её же нужно отправить разработчику расширения. Неужели именно этот код не может вызвать подозрений. Или все это легко маскируется под отправку заранее предусмотренных запросов?
Ну как видно - не вызывает подозрений. Откуда расширение из сабжа берет информацию о пользователях? Оно обращается за этой информацией на сайт BPIP ! А в строке обращения можно послать все что угодно.