Studie: Eingaben auf Webseiten werden beim Tippen an Werbefirmen geleitet

Login
“Das hat unsere Erwartungen bei weitem übertroffen.” – Leiterin der Studie Güneş Acar (Quelle: IMAGO / blickwinkel)

Tippen Internetnutzer auf Webseiten Daten wie etwa Mail-Adressen in Formulare oder Eingabefelder ein, werden diese oftmals direkt an Tracking- und Werbeunternehmen weitergeleitet – noch bevor die Nutzerinnen und Nutzer ihre Eingaben absenden. Das hat eine nun veröffentlichte Studie ergeben.

Die Forschenden der Radboud-Universität Nijmegen, der KU Leuven und der Universität Lausanne haben 100.000 der weltweit populärsten Internetseiten und deren Eingabemasken auf dieses Verhalten hin untersucht. In der Studie "Leaky Forms: Eine Studie zur E-Mail- und Passwort-Exfiltration vor der Formularübermittlung" stellte sich heraus, dass auf 1844 der untersuchten Seiten im Hintergrund arbeitende Tracker Nutzerdaten direkt beim Eintippen an Dritte weiterleiteten – wenn die Seiten aus der EU aufgerufen wurden. Die Eingaben von Internetnutzern aus den USA wurden auf 2950 der Webseiten weitergesendet.

Betroffen waren auch Plattformen mit hohen Besucherzahlen wie etwa das Time Magazine, Fox News, Newsweek und das Statistikportal FiveThirtyEight. Aber auch die Seiten der Hotelkette Marriot Hotels und des Software-Anbieters Shopify leiteten Daten bereits beim Eintippen aus.

“Wir waren von diesen Ergebnissen sehr überrascht. Wir dachten, wir würden vielleicht ein paar hundert Websites finden, auf denen ihre E-Mail gesammelt wird, bevor sie sie abschicken”, kommentierte Güneş Acar, eine der Leiterinnen der Studie, gegenüber der IT-Nachrichtenseite Wired, “aber das hat unsere Erwartungen bei Weitem übertroffen”.

Weiterleitung persönlicher Daten

Explizit hatten die Expertinnen und Experten das Verhalten sogenannter Tracker von Drittanbietern untersucht, die auf den Webseiten eingebunden sind.

Einige dieser Skripte registrierten alle Interaktionen der Besucher mit der Seite, also worauf sie klicken oder wo sie hinscrollen. Die Forschenden vermuten deswegen, dass einige der Tools Dateneingaben wie die der E-Mail-Adresse quasi nur als Nebenprodukt aufzeichnen, weil die Software einfach alles erfasst. Einige Tracker registrierten während der Untersuchung jeden einzelnen Tastenanschlag und schickten diesen sofort weiter. Andere leiteten die Daten erst aus, wenn der Cursor in das nächste Eingabefeld wechselte.

Auf diese Weise landen die Daten von den Nutzern unbemerkt bei den Herstellern der Skripte – Tracking-, Marketing- und Analyse-Firmen wie Facebook, Oracle und Adobe.

Die Daten werden beispielsweise zur Identifizierung der Nutzer über verschiedene Webseiten und Apps hinweg genutzt und für personalisierte Werbung verwendet. Studienleiterin Acar warnt: “Die Risiken für die Privatsphäre der Nutzer bestehen darin, dass sie noch effizienter nachverfolgt we rden können, und zwar über verschiedene Websites hinweg, über verschiedene Sitzungen hinweg, auf dem Handy und auf dem Desktop”. Eine E-Mail-Adresse sei so nützlich für die Nachverfolgung, weil sie global, einzigartig und konstant ist.

Betreiber kontaktiert

Die Tracker auf 52 Internetseiten erfassten sogar eingegebene Passwörter, ohne dass diese vom Nutzer abgeschickt wurden. In dem Großteil dieser Fälle gingen die Daten an das russisch-niederländische Unternehmen Yandex. Die Forschenden teilten ihre Ergebnisse Yandex und den Website-Betreibern mit, inzwischen würden auf den untersuchten Seiten keine Passwörter mehr ausgeleitet.

Außerdem kontaktierten die Forschenden 58 Betreiber der größten betroffenen Webseiten und fragten an, ob sie sich über das Abfischen der Mail-Adressen durch Dritte bewusst sind. Unter anderem fivethirtyeight.com, trello.com (Atlassian), lever.co, branch.io und cision.com gaben an, nichts von der E-Mail-Sammlung auf ihren Webseiten gewusst und die Funktion nun abgeschaltet zu haben.

Die Hotelkette Marriott gab an, die Daten von dem Tracker-Dienst Glassbox zu erhalten und sie zur Kundenbetreuung, technischen Unterstützung und Betrugsprävention zu verwenden. Die Modemarke Stella McCartney erklärte, die Mailadressen seien aufgrund eines technischen Fehlers übertragen worden. Das Problem sei inzwischen gelöst.

Von den 28 angefragten Tracking-Firmen antworteten 15 den Forschenden: Acht Unternehmen, darunter Adobe, FullStory und Yandex verwiesen lediglich auf die Webseiten-Betreiber. Das Werbeunternehmen Taboola gab an, Mail-Adressen 13 Monate lang als Hash zu speichern und sie für die Personalisierung von Anzeigen und Inhalten zu nutzen. Die Mailadressen würden nicht an Dritte weitergegeben. Die Firma gab auch an, die Adress-Hashes nur nach Zustimmung des Nutzers zu sammeln. Die Untersuchungsergebnisse widerlegten dies allerdings.

Nach Angaben von Zoominfo ergänzt ihr Skript Kontaktdetails zu Benutzern, wenn diese bereits in der Marketing-Datenbank vorhanden sind. Die Webseiten-Betreiber könnten entscheiden, ob Daten bereits vor Absenden der Eingaben übertragen werden.

DSGVO wirkt – vermutlich

Den höchsten Anteil an datenabgreifenden Skripten fanden die Forschenden bei Diensten aus den Kategorien “Fashion/Beauty” (19 Prozent) und “Online Shopping” (15,1 Prozent).

Die regionalen Unterschiede zwischen den USA und der EU erklären die Forschenden damit, dass die Unternehmen möglicherweise aufgrund der EU-Datenschutzgrundverordnung (DSGVO) vorsichtiger mit dem Tracking von Nutzern umgehen und sogar mit weniger Drittanbietern zusammenarbeiten.

Auch Sicht der Experten könnte die Weiterleitung der Mail-Adressen an Drittfirmen, also personenbezogener Daten, gleich gegen mehrere Grundsätze der DSGVO verstoßen: Daten müssen transparent und definiert verarbeitet werden und die Nutzer müssen der Verarbeitung zustimmen. Die Forschenden bewerteten in der Untersuchung aber nicht, ob in den einzelnen Fällen tatsächlich Rechtsverstöße vorliegen.

Unerwünschte Werbung

Für die Untersuchung hatten die Forschenden eine Software entwickelt, die Mail-Adressen automatisiert in die entsprechenden Eingabefelder auf den Webseiten eintrug. Das Testsystem steuerte die Internetseiten von einem Standort in den USA und der EU an, es wurde jeweils ein Browser für Desktop-Rechner und einer für Mobilgeräte genutzt.

Obwohl die Mail-Adressen weder den Webseitenbetreibern noch den Drittanbietern gewollt mitgeteilt wurden, erhielten die Tester während der Untersuchung hunderte Werbemails. Woher diese stammten, konnten sie stets nachweisen, weil für jede Webseite eine eigene Mail-Adresse verwendet wurde.

Innerhalb von sechs Wochen wurden 477 unerwünschte E-Mails an 159 der Testadressen verschickt – meist, um Rabatte anzubieten oder die Nutzer wieder auf die jeweilige Webseite zu locken. Eine Einwilligung zu den Werbenachrichten war nie erfolgt.

Gegenmaßnahmen

Die Experten wiesen darauf hin, dass die populärsten Browser Chrome, Firefox und Safari zwar mittlerweile Abwehrmaßnahmen gegen Tracking an Bord hätten – doch gegen das Abgreifen der E-Mail-Adressen hätten diese in Stichproben der Forschenden nichts ausgerichtet. Die Forschenden zeigten sich wenig überrascht von dieser Erkenntnis: “Dieses Ergebnis ist zu erwarten, da beide Browser [Firefox und Safari] versuchen, ein Gleichgewicht zu halten zwischen der Minimierung von Einschränkungen und der Begrenzung des seitenübergreifenden Tracking.”

Die Autorinnen und Autoren rufen die Browser-Anbieter dazu auf, die in der Studie untersuchten Skripte zu blockieren, um die ungewollte Datenübertragung zu stoppen. Alternativ schlagen sie vor, die Browser könnten die Skripte mit falschen Mail-Adressen versorgen. Sodass die Funktionen der Webseiten nicht gestört werden.

Aktuell empfehlen die Experten den Nutzern, die Browser-Erweiterung uBlock Origin oder den Browser Brave zu nutzen, die beide die untersuchten Skripte blockieren. Mit Leakinspector entwickelten die Forschenden auch eine eigene Browser-Erweiterung. Diese ist aber noch nicht veröffentlicht. (hcz)