Ihre E-Mail-Adresse und Ihr Passwort können ohne Ihr Wissen protokolliert werden
Eine umfangreiche Studie zeigt, dass bis zu 3 % der Websites Ihre Formulareingaben erfassen, noch bevor Sie jemals auf „Senden“ geklickt haben. Das ist richtig – selbst wenn Sie etwas eingeben und es dann löschen, zeichnen diese Websites Ihre Tastenanschläge auf und merken sich die Dinge, die Sie nicht eingegeben haben.
Die Daten, die ohne Ihr Wissen und Ihre Zustimmung gesammelt werden, können einige der persönlichsten Informationen enthalten, die später für verschiedene Zwecke, wie z. B. gezielte Werbung, verwendet werden können.
Die Studie trägt den Titel „ Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission “ und wurde von Universitätsforschern an einer großen Stichprobe von 100.000 der weltweit höchstrangigen Websites durchgeführt, was insgesamt 2,8 Millionen ausmacht Seiten.
Mit einem Website-Crawler (basierend auf dem Tracker Radar Collector von DuckDuckGo) durchforsteten die Forscher das Internet und kamen mit erstaunlichen Ergebnissen zurück. Obwohl die meisten von uns davon ausgehen, dass Websites nur die Dinge aufzeichnen, die wir eingeben, wenn wir sie übermitteln, scheint dies für bis zu 2.950 der 100.000 untersuchten Websites einfach nicht wahr zu sein. Es scheint, dass Tracker in bis zu 3 % der Fälle Daten von dem Moment an sammeln, in dem sie in das Formular eingegeben werden.
Websites verwenden Tracker aus vielen Gründen, aber zum größten Teil werden sie verwendet, um Ihr Surferlebnis zu personalisieren und Informationen über Besucheraktivitäten zu sammeln. Theoretisch soll dies anonym sein, aber persönliche Identifikatoren schränken die Dinge natürlich stark ein.
Tracker können nützlich sein, da sie den Websites mitteilen, an welchen Inhalten die Benutzer am meisten interessiert sind. Tracker von Drittanbietern werden jedoch verwendet, um Werbetreibenden dabei zu helfen, sicherzustellen, dass die Anzeigen, die Sie sehen, zielgerichtet sind, was bedeutet, dass Sie dies eher tun würden klicken und etwas kaufen.
Der in der Untersuchung verwendete Crawler war mit einem Klassifikator für maschinelles Lernen ausgestattet, der zuvor darauf trainiert wurde, E-Mail- und Passwortfelder zu erkennen und dann jeden potenziellen Skriptzugriff auf diese Felder abzufangen. Es scheint, dass viele Drittanbieter-Tracker mit Skripten erwischt wurden, die die Tastenanschläge überwachen, wenn der Besucher in ein Formular tippt. Wenn die Tracker die Informationen speichern, bevor sie übermittelt werden, könnten einige von ihnen E-Mail-Adressen und Passwörter ohne Zustimmung des Benutzers sammeln.
Die Tatsache, dass einige Tracker von Drittanbietern in der Lage waren, Tastenanschläge und damit Daten zu sammeln, bevor etwas übermittelt wurde, ist definitiv alarmierend. Laut den Forschern betrifft dieses Problem einen kleinen Prozentsatz der Tracker, aber sie sind im Internet weit verbreitet. Die größten Schuldigen waren LiveRamp (662 Websites), Taboola (383), Verizon (255) und Bizible (191). Diese Tracker waren auf Websites vorhanden, auf denen E-Mail-Adressen protokolliert wurden. Wenn es um den Diebstahl von Passwörtern geht, stehen Yandex-Tracker ganz oben auf der Liste.
Ein interessanter Faktor der Untersuchung ist, dass europäische Benutzer weniger Versuchen zum Extrahieren von E-Mails/Passwörtern ausgesetzt waren als Benutzer in den USA. Nur 1.844 Websites erlaubten Trackern dies, wenn sie von Europa aus besucht wurden, verglichen mit 2.950 für Benutzer in den Vereinigten Staaten.
Benutzer in Europa sind durch die DSGVO geschützt, eine Reihe von gesetzlichen Vorschriften zu personenbezogenen Daten. Laut der Studie verstößt die E-Mail-Exfiltration über Tracker gegen mindestens drei DSGVO-Gesetze. Ein Verstoß gegen die DSGVO kann zu enormen Bußgeldern von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des betreffenden Unternehmens führen.
Die Höhepunkte der Studie wurden von Forschern zusammen mit einer vollständigen, viel technischeren Version für diejenigen veröffentlicht, die ein bisschen mehr erfahren möchten. Diese wurde dann erstmals von Bleeping Computer geteilt. Es ist wichtig anzumerken, dass die Hälfte der aufgeführten Erst- und Drittparteien den Forschern geantwortet und behauptet hat, dass die Sammlung auf einen Fehler zurückzuführen sei.
Wenn Sie sich vor ähnlichen Trackern schützen möchten, ist es möglicherweise eine gute Idee, Tracker von Drittanbietern vollständig zu deaktivieren – Sie können dies in Ihren Browsereinstellungen tun. Es wird auch als gute Praxis angesehen, Ihr Passwort von Zeit zu Zeit zu ändern. Passwort-Manager können sich als hilfreich erweisen, wenn Sie mit vielen verschiedenen Passwörtern jonglieren, die sich regelmäßig ändern.