Internet Konzept des World Wide Web
Internet Konzept des World Wide Web
Bildquelle: kentoh, Lizenz

Leaky Forms: wie Webseiten eure Daten klauen

Leaky Forms: Cookies waren gestern. Heute will man unsere E-Mail, um uns noch effektiver und geräteübergreifend durchs Netz zu verfolgen.

Eine gemeinschaftliche Studie der KU Leuven, der Radboud Universität und der Universität Lausanne belegen, dass sehr viele Webseiten mit sogenannten „Leaky Forms“ unsere Daten klauen.

E-Mail-Adressen von Nutzern werden demnach häufig schon vor dem Absenden von Formularen und vor der Erteilung einer Zustimmung an Tracking-, Marketing- und Analyse-Domains weitergegeben. Ganz vorne mit dabei beim dreisten Datenklau, Facebook und TikTok.

Leaky Forms: E-Mail-Adressen als ultimative Tracker

Leaky Forms- Top-Tracker-Domains – E-Mail-Leaks
Top-Tracker-Domains – E-Mail-Leaks

Für den ein oder anderen mag es keine große Überraschung sein. Denn ja, wir alle wissen, dass Webseiten unsere Daten aufzeichnen und an sogenannte Databroker weitergeben. Vor allem E-Mail-Adressen oder von ihnen abgeleitete Identifikatoren sind dabei für Datenmakler und Werbetreibenden extrem wertvoll.

Speziell für die standort- und plattformübergreifende sowie dauerhafte Identifizierung von Nutzern spielen E-Mail-Adressen eine sehr wichtige Rolle. Denn sie gelten als ultimative Tracker.

Immerhin 1 844 Websites, die von der EU aus besucht werden können, nutzen „Leaky Forms“. Noch vor dem Absenden von Formularen und vor der Erteilung einer Zustimmung werden eure E-Mail-Adressen an Werbetreibende und Analyse-Domains weitergeleitet. Mit Datenschutz hat das nicht mehr viel zu tun.

Forscher von den Ergebnissen sehr überrascht

Die Professorin und Forscherin der Radboud-Universität, Güneş Acar, zeigt sich sehr überrascht von den Ergebnissen ihrer gemeinsamen Studie über Leaky Forms.

Wir waren von diesen Ergebnissen sehr überrascht. Wir dachten, wir würden vielleicht ein paar hundert Websites finden, auf denen Ihre E-Mail gesammelt wird, bevor Sie sie abschicken, aber das hat unsere Erwartungen dann doch bei weitem übertroffen.

Güneş Acar

Und nicht nur Güneş Acar zeigt sich überrascht. Auch ihre, an dieser Studie beteiligten Kollegen, hätten dieses Ausmaß nicht erwartet. Sie weisen darauf hin, dass das Verhalten vieler Websites im Kern den sogenannten Key-Loggern ähnelt.

In einigen Fällen wird beim Anklicken des nächsten Feldes das vorherige Feld erfasst, z. B. beim Anklicken des Kennwortfeldes die E-Mail, oder man klickt einfach irgendwo hin und alle Informationen werden sofort erfasst.

Asuman Senol

Leaky Forms auch bei Meta (Facebook) und TikTok

Das auch Meta (ehemals Facebook) zu den ganz großen Datenkraken gehört, ist wirklich kein großes Geheimnis. Güneş Acar weist insbesondere auf die Risiken für die Privatsphäre der Nutzer hin:

Die Risiken für die Privatsphäre der Nutzer bestehen darin, dass man sie noch effizienter verfolgen kann; dies wäre über unterschiedliche Websites, über verschiedene Sitzungen, über Mobilgeräte und Desktops hinweg möglich.

Eine E-Mail-Adresse ist ein so nützlicher Identifikator für die Nachverfolgung, weil sie global, einzigartig und konstant ist. Man kann sie nicht löschen, so wie man seine Cookies löscht. Es ist ein sehr aussagekräftiges Identifizierungsmerkmal.

Güneş Acar

Die Sicherheitsforscher fanden zudem heraus, dass Meta (früher Facebook) und auch TikTok verschlüsselte personenbezogene Daten (E-Mail-Adressen und Passwörter) aus Webformularen sammeln. Der Nutzer muss die Daten nur in das entsprechende Feld eingeben und schon werden sie weitergeleitet.

Auch in diesem Fall braucht es weder einen Klick auf den „Absenden“ Schalter, noch eine Zustimmung des Users, dass seine Daten geteilt werden dürfen.

Unsere E-Mail-Adresse als neuer Supercookie

Die Nutzer im Internet mit Cookies zu tracken, wird für viele Unternehmen immer problematischer. Dieser Meinung ist auch Güneş Acar.

Vermarkter und andere Analysten verlassen sich immer stärker auf statische Kennungen wie Telefonnummern und E-Mail-Adressen, da die Technologieunternehmen die Cookie-basierte Nachverfolgung von Usern aus Rücksicht auf den Datenschutz auslaufen lassen.

Güneş Acar

Was uns also auf der einen Seite einen besseren Datenschutz zusichern soll, beschert uns auf der anderen Seite eine neue und noch genauere Form des Trackings. Cookies waren gestern. Heute will man an unsere E-Mail-Adresse, um uns noch besser und effektiver und vor allem geräteübergreifend durchs Netz verfolgen zu können.

LeakInspector: ein Add-on, soll vor der Exfiltration persönlicher Daten warnen und schützen

Lange waren es die Tracking-Cookies, welche Datenschützer und Internetnutzer beschäftigten. Bald schon dürften es die Leaky Forms sein. Datenschutz war noch nie einfach. Und solange man den großen Techfirmen nicht genauer auf die Finger schaut, wird sich daran wohl auch nichts ändern.

Die von den Sicherheitsforschern dieser Studie entwickelte Browsererweiterung „LeakInspector“, soll uns dabei unterstützen, auch weiterhin auf unseren Datenschutz achten zu können.

Momentan steht die Erweiterung zwar noch nicht zum Download bereit, aber die Sicherheitsforscher arbeiten daran, das Add-on möglichst bald für Firefox zu veröffentlichen.

Sunny

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.