Google und Mozilla und Opera haben die Stylish-Erweiterung aus ihren Browsern verbannt, weil sie jede Menge Nutzerverhalten aufgezeichnet hat.
Die kostenlose Browsererweiterung Stylish erfasste von den Nutzern alle Browseraktivitäten, wie von ihnen aufgerufenen Webseiten, und leitete diese Informationen dann mit einer eindeutigen ID versehen an ihren eigenen Server, also den von SimilarWeb, weiter. Dadurch wurde es auch möglich, alle Aktionen eines Users in einem einzigen Profil zu erfassen und damit eindeutige Rückschlüsse auf den Nutzer zu ziehen. Google, Mozilla und Opera haben darauf reagiert und das Addon ist bereits aus ihren Web Stores verbannt, berichtet ArsTechnika.
Bei Stylish bezahlte man mit seinen Daten
Das äußerst beliebte Stylish wurde von den Nutzern über zwei Mio. mal heruntergeladen. Durch eine umfangreiche Palette benutzerdefinierter Skins konnte man mit dem Addon das Aussehen von Webseiten nach dem eigenen Geschmack anpassen, ungeliebte Elemente ließen sich ausblenden, störende Teile verstecken, aber auch Inhalte konnte man herausfiltern.
Zwar war die Browsererweiterung kostenlos, jedoch wie schon so oft vorher festgestellt, zahlten auch hier die Nutzer unwissentlich dafür mit ihren eigenen Daten. Herausgefunden hat diese Tatsache der Sicherheitsforscher Robert Heaton. Mit dem Tool Burp Suite hat er nachverfolgt, was Stylish so alles sammelt. Er stellte fest, dass das Addon große Datenmengen an die Website Userstyles.org weitergeleitet hat.
Hersteller an Analysefirma verkauft
Laut Heaton enthielten die Daten jede vom Nutzer aufgerufene URL, Google-Suchergebnisse und eine individuelle Identifizierungsmarke. Diese eindeutige ID könne dann einfach mit einem Login-Cookie verknüpft werden. Dies würde bedeuten, dass SimilarWeb nicht nur eine Kopie unserer vollständigen Browserhistorien besitzt. Sondern leider auch genügend andere Daten, um die theoretisch mit E-Mail-Adressen und realen Identitäten zu verknüpfen.
Im Jahr 2017 wurde Stylish an die israelische Web-Analytics-Firma Similarweb verkauft. Diese haben dann neue Datenschutzbestimmungen, wie das Sammeln von HTTP-Anfragen, genutzter URLs und Suchmaschinendaten samt Keywords, implementiert. Das Datensammeln wurde zwar als anonymisiert deklariert, jedoch so meint Heaton, träfe das hier bei weitem nicht mehr zu.
Bildquelle: geralt, thx! (CC0 Public Domain)
Tarnkappe.info