（２０１７/０１/２６追記）この記事は２０１６年１１月時点の話です。その後WOT側がプライバシーポリシーとオプトアウトとを改訂した件について書きました→WOTのプライバシーポリシーとオプトアウト - とりかごとなり。

そもそもの発端は
HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog
Chrome拡張のHTTP Headersでマルウェア疑惑がほぼ黒、という話をみて、「やばいやばいVivaldiに入ってる」と思い速攻削除したのですが、はてブコメントで「WOT(Web of Trust)もやばい」
apppppp コッチよりも百万人以上が導入している Wot機能拡張 の方がもっとヤバイことを知った。
とか
asyst 気になって拡張機能見直したら、Web of Trust がブラウザ履歴販売してるという情報が出ててきた。 https://addons.mozilla.org/ja/firefox/addon/wot-safe-browsing-tool/reviews/

なる話をみて「ふぎゃぁぁぁ」状態。

WOT使ってるよ！めっちゃ使ってる!
普段はVivaldiとFirefoxの2面使いですけど、両方に入ってる。
本当なら新聞1面トップで周知してもいいくらいの重大情報。

早速addons.mozilla.orgのサイトを見てみると…
1ページ目
2ページ目
3ページ目
4ページ目
5ページ目

5ページ目の途中に至るまで延々と★1が並んでます…
（ページ数は11/3　20：00時点のもの/その後削除済)*1

Chromeのストアレビューはこちら。(「すべての言語」にしないとでてこない)
WOT: Web of Trust, Website Reputation Ratings - Chrome Web Store

やけにドイツ語のレビューが多いと思ったら、元となる記事がドイツ語だった様子。
Millionen Surf-Profile: Daten stammen angeblich auch von Browser-Addon WOT | heise online
Browser-Erweiterung gibt Daten weiter: "Web of Trust" späht Nutzer aus | tagesschau.de

読めない…(´・ω・｀)
仕方がないのでぐぐる様機械翻訳にかけてみると、heise onlineの冒頭部分

Die detaillierten Daten zum Surfverhalten von Millionen Deutschen, auf die NDR-Reporter Zugriff haben, stammen offenbar auch von der beliebten Browser-Erweiterung WOT. Die damit gesammelten Daten seien leicht bestimmten Personen zuzuordnen.

 の意味は

どうやら人気のあるブラウザの拡張WOTから発信NDRレポーターアクセスで、ドイツ人の何百万もの閲覧行動に関する詳細なデータ、。このようにして集めたデータを簡単に特定の個人に割り当てられています。

 とあって非常にヤバい。本来の意味でやばい。

しかしドイツ語を逐次機械翻訳で読むの辛いので何か…とおもっていたら、addons.mozilla.orgのレビューの中で英語の解説があった。
Nackt im Netz: Millionen Nutzer ausgespäht | NDR.de - Nachrichten - Netzwelt

のGoogle翻訳(一部)らしい。
https://addons.mozilla.org/ja/firefox/addon/wot-safe-browsing-tool/reviews/826504/

"In the searches of the NDR a browser extension of the company "Web of Trust" (WOT) occurred. WOT offers a service that is designed to help the user navigate securely: the extension checks the integrity of web pages, evaluates pages visited by a traffic light system with regard to security.
In the background, however, the extension also logs and transmits the data for the surfing behavior of the user to a server abroad. A profile is created where the date, time, location and controlled web address are stored together with a user ID. These data then go to intermediaries. From one of these intermediaries, Panorama and ZAPP got their record."

と書いてある。超要約すると、

WOTはユーザの安全性に役立つサービスを提供する一方で、裏ではユーザのネットサーフィンのログ取りをし、海外サーバへ送信していた。日時・場所・管理されたwebアドレス(と伴にユーザID)のプロファイルが作られ、これらのデータは仲介人に渡る。仲介人の一つはPanorama and ZAPPで、これらの記録を得る。

ということらしい。

ドイツ語原文は記事の中盤、多分ここの部分。

In den Recherchen des NDR fiel etwa eine Browser-Erweiterung der Firma "Web of Trust" (WOT) auf. WOT bietet eigentlich einen Service an, der dem Nutzer dabei helfen soll, sicher zu surfen: Die Erweiterung prüft die Integrität von Webseiten, bewertet besuchte Seiten anhand eines Ampel-Systems im Hinblick auf Sicherheit.

Im Hintergrund protokolliert und übermittelt die Erweiterung aber auch die Daten zum Surf-Verhalten des Nutzers an einen Server im Ausland. Dort wird ein Profil erstellt, bei dem Datum, Uhrzeit, Ort und angesteuerte Web-Adresse gemeinsam mit einer Nutzer-Kennung abgespeichert werden. Diese Daten gehen dann an Zwischenhändler. Von einem dieser Zwischenhändler haben Panorama und ZAPP ihren Datensatz bezogen.

 なんだそれ、きーてない。
この、「きーてねーよ」はドイツでも同じように思ったらしく、heise onlineの記事内でも以下の文章が。

Hamburgs Datenschutzbeauftragter Johannes Caspar hat das Geschäftsgebaren von WOT nach dem Bericht nun kritisiert. Zwar sei es grundsätzlich zulässig, personenbezogene Daten weiterzugeben, dem müssten die betroffenen Nutzer aber zustimmen. Zu solch einer Einwilligung sei es aber unerlässlich, dass die Nutzer wüssten, wozu sie zustimmen. Das sei bei WOT nicht der Fall. Immerhin werde behauptet, dass die Daten nicht personenbezogen seien, was ja nicht stimme. Die massive Auswertung dieser Daten sei damit nach deutschem Recht nicht erlaubt. Das hinter WOT stehende Unternehmen hat sich noch nicht zu den Vorwürfen geäußert.

 「個人データの開示にはユーザの許可が不可欠だけどWOTは違うよね、やってないじゃん」
（Zwar sei es grundsätzlich zulässig, personenbezogene Daten weiterzugeben, dem müssten die betroffenen Nutzer aber zustimmen. Zu solch einer Einwilligung sei es aber unerlässlich, dass die Nutzer wüssten, wozu sie zustimmen. Das sei bei WOT nicht der Fall. ｝
といったことが書かれています。また、これらが入手した個人データではないことは事実として合っていない*2と主張している
（Immerhin werde behauptet, dass die Daten nicht personenbezogen seien, was ja nicht stimme）
ようです。

ともかく、こんな重大事実がわかったとなればさっさとアンインストールするのが吉。
アドオンのレビューでも「速攻削除しろ」といったコメントが続いてます。

WOTってニュースサイトとかでも「ブラウザ入れたら入れておけ」的な扱いだったように思ったのに、どこでどうなってしまったのか。
特にここは「ユーザの安全守ります」な看板だったはず。何がどうしてこうなった。

アドオンそのものに有害コードが混ざったなどと違い、この手のデータの扱いって外からはほとんど気付けない。
一般ユーザの自衛ってどうしたらよいのか…

Thunderbirdの45.3.0がリリースされました。
Thunderbird — Notes (45.3.0) — Mozilla
修正された全Bug一覧
Bug List

目玉の修正は、国内外で散々物議を醸した

"edit as new message" on a received message pre-filled the sender as the composing identity.
「新しく編集」で元メールの差出人がメール作成者のidentityとして入ってしまう

 の修正と思われます。

Resolved fixed Bug1254666 - とりかごとなり。
でも書いたように、、既存のメールについて「新しく編集」を選んだ場合でも、本来の差出人の情報が入るような挙動(38.ｘまでの仕様)に戻されています。
1254666 – "edit as new message" on a received message prefills the sender as the composing identity
の修正です。

他の修正としては、

Certain messages caused corruption of the drafts summary database.
あるメッセージが下書きの要約データベース破壊を引き起こす

対応bugは
1276419 – embedded image with source URL with ? leads to corrupt src="mailbox:///.../Drafts?number=..." in a composition. (This gets sent without being converted to reference via CID).

(メッセージ作成画面で？が付いた画像埋め込みのURL*1が壊れてしまう)

Disposition-Notification-To could not be used in mail.compose.other.header
設定エディタ中のmail.compose.other.headerにてDisposition-Notification-To*2が使えない

こちらの対応bugは
1250376 – Since jsmime.js, no longer possible to use Disposition-Notification-To in mail.compose.other.header
設定エディタのmail.compose.other.headerでカスタムのメールヘッダを追加できる機能でDisposition-Notification-Toを追加しても実質使えない（ヘッダが追加されない）という問題の修正です。
開封確認要求なんて滅びてほしいメール悪習の筆頭みたいなもんだけど…

その他にもsecurity fixが幾つか修正されていますので、アップデートをお勧めします。