Wer einen Brief schreibt, behält dessen Inhalt so lange für sich, bis er im Briefkasten liegt. Solange er nicht an die Post übergeben wurde, wurde er auch nicht verschickt. Wie ist das im Internet, auf Websites und in Apps? Wer in Onlineformularen persönliche Daten eingibt, also Namen, E-Mail-Adressen, Telefonnummern, verschickt diese ebenfalls erst mit dem Klick auf "Senden", könnte man meinen. Tatsächlich sammeln zahlreiche Websites aber bereits Daten, bevor die Nutzerinnen und Nutzer diese absenden. Eine neue Studie zeigt, wie verbreitet diese Praxis tatsächlich ist.
Unter dem Titel Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission haben Forscherinnen und Forscher der Radboud-Universität Nijmegen, der KU Leuven und der Universität Lausanne 100.000 der weltweit am häufigsten besuchten Websites darauf hin analysiert, ob diese auf ihren Formularseiten bereits Daten speichern, während die Nutzerinnen und Nutzer diese eintippen. Das Ergebnis: Wer die Websites aus einem Land in der EU aufruft, muss bei 1.844 Angeboten damit rechnen, dass zumindest die E-Mail-Adresse gespeichert und mit Dritten geteilt wird. Für Menschen in den USA ist das sogar bei 2.950 Websites der Fall.
Zu den betroffenen Websites gehörten bekannte Dienste wie das Aufgabentool Trello, die Nachrichtenportale Time, Fox News und Newsweek, das Statistikportal FiveThirtyEight, die Seite der Hotelkette Marriott und die beliebte E-Commerce-Lösung Shopify. Die meisten betroffenen Websites stammten aus dem Bereich Fashion/Beauty, bei Hunderten untersuchten Pornoseiten stießen die Forscher dagegen kein einziges Mal auf das beschriebene Leaking von E-Mail-Adressen.
"Wir dachten, wir würden vielleicht ein paar hundert Websites finden, auf denen E-Mails gesammelt werden, bevor man sie absendet, aber das hat unsere Erwartungen bei Weitem übertroffen", sagte der für die Studie mitverantwortliche Sicherheitsforscher Güneş Acar im Gespräch mit dem US-Magazin Wired. In Anbetracht des Umfangs und den mit der unwissentlichen Datensammlung einhergehenden Datenschutzproblemen verdiene die Praxis mehr Aufmerksamkeit vonseiten der Browser-Anbieter und Behörden, heißt es in der Studie.
Dass Eingabedaten im Browser prinzipiell bereits bei der Eingabe gespeichert werden können, ist kein neues Phänomen. Schon 2017 zeigte eine Recherche des Technikportals Gizmodo, dass ein Marketingunternehmen in den USA auf zahlreichen Websites die Technik einsetzte. Zu den Kunden gehörte der Hypothekenfinanzierer Quicken Loans, auf dessen Website Menschen Informationen zu ihrem persönlichen Vermögen preisgeben. Später im gleichen Jahr führten Sicherheitsforscher der Universität Princeton, darunter Güneş Acar, eine Studie durch, in der sie 50.000 Websites auf den Einsatz spezieller Skripte, automatisch ausgeführte Anwendungen auf Websites, hin untersuchten, die Daten vor dem Absenden speichern.
Websites sammeln E-Mail-Adressen beim Eintippen
Die
neue Untersuchung konzentriert
sich auf das Sammeln von E-Mail-Adressen und Passwörtern durch
Tracker von Drittanbietern:
So nennt man Skripte oder Dateien
wie Cookies, die Informationen über die Besucherinnen und
Besucher an externe
Dienstleister, etwa Werbetreibende,
übermitteln. Das geschieht
meistens, um den
Besuchern personalisierte
Werbeanzeigen anzeigen zu können;
die Tracking-Cookies
enthalten nämlich Merkmale, über die sich Nutzerinnen über
verschiedene Websites hinweg verfolgen lassen. Alternativ
oder zusätzlich können
Websites eine Technik namens Session Replay
oder Session Recording verwenden: Hierbei zeichnen Tracker sämtliche Interaktionen von
Besuchern auf einer Website auf – worauf sie klicken, wie weit sie
scrollen, oder was sie eingeben – um dadurch zu analysieren, wie
diese auf der Website zurechtkommen.
Die Forschenden haben eine eigene Software entwickelt, die in einem ersten Schritt automatisiert die 100.000 ausgewählten Websites auf Eingabeformulare hin untersucht und dort dann die Felder für E-Mail und Passwort identifiziert. In einem zweiten Schritt füllt die Software diese beiden Felder aus, wobei für jede Website eine eigene funktionierende E-Mail-Adresse angelegt wird. In einem dritten Schritt identifiziert die Software dann die Tracker auf der jeweiligen Website und schaut, ob bereits beim Eintippen oder beim Wechsel zwischen zwei Feldern eine Datenübertragung zwischen der Website und den Anbietern der Tracker stattfindet.
Technisch
gesehen ist diese Art der Datensammlung vergleichsweise banal: Der
Tracker wird beim Besuch der Website geladen und wartet vereinfacht
gesagt im Hintergrund, bis
jemand auf das Eingabefeld klickt. Sobald eine Eingabe stattfindet,
überträgt der Tracker
diese an seinen
Anbieter. Das
kann, je nach Konfiguration,
bereits
nach jeder Tasteneingabe geschehen oder erst dann, wenn man zum
nächsten Feld wechselt. Ob
eine Datenübertragung stattfindet, lässt sich durch die im
Browser integrierten Entwicklertools nachvollziehen.
Wer einen Brief schreibt, behält dessen Inhalt so lange für sich, bis er im Briefkasten liegt. Solange er nicht an die Post übergeben wurde, wurde er auch nicht verschickt. Wie ist das im Internet, auf Websites und in Apps? Wer in Onlineformularen persönliche Daten eingibt, also Namen, E-Mail-Adressen, Telefonnummern, verschickt diese ebenfalls erst mit dem Klick auf "Senden", könnte man meinen. Tatsächlich sammeln zahlreiche Websites aber bereits Daten, bevor die Nutzerinnen und Nutzer diese absenden. Eine neue Studie zeigt, wie verbreitet diese Praxis tatsächlich ist.