[Netzwelt] Browserverläufe von Millionen deutscher Nutzern verkauft

Laut dem ARD-Magazin Panorama verkaufen Anbieter von Browser-Addons getrackte Nutzerdaten im großen Umfang an Big-Data-Analysten. Das Magazin konnte Zugang zu Datensätzen erhalten, die Browserverläufe von ca. 3 Millionen Nutzer enthalten. Betroffen sind neben privaten Nutzern auch Personen des öffentlichen Lebens wie Polizisten, Manager und Journalisten.

Die Daten enthalten mehr als 10 Milliarden Web-Adressen. Diese sind anhand einer ID-Nummer einem Nutzer zugeordnet. Anhand dieser ID-Nummer lässt sich auch oft herausfinden, welche Person sich hinter der Nummer verbirgt.

NDR-Reporter haben im Zuge ihrer Recherchen eine Scheinfirma gegründet die vorgab im Big-Data Geschäft aktiv zu sein. Gleich mehrere Unternehmen haben dieser Scheinfirma angeboten Daten deutscher Internetnutzer zu verkaufen. Eines dieser Unternehmen hat die vorliegenden Datensätze als Kostprobe angeboten. Teilweise hatten die Journalisten sogar Live-Zugriff auf die Daten.

Laut dem Redakteur Jochen Becker stammen die Daten aus unterschiedlichen Addons. Um welche es sich genau handelt, verrät er allerdings nicht. Da die Entwickler der Addons oft aus dem Ausland, wie zum Beispiel Panama oder den Britischen Jungferninseln agieren, haben betroffen Nutzer kaum eine Chance juristisch gegen gegen den Verkauf ihrer Daten vorzugehen.

Quelle: Golem.de

 

[Abul]

@godlike: @KaPiTN: Lest mal

...

https://www.kuketz-blog.de/wot-addon-wie-ein-browser-addon-seine-nutzer-ausspaeht/

Der hat extra das Addon umgeschrieben damit die Requests nicht mehr so kryptographisch sind.

 

[Novgorod]

schön doof, wenn man persönliche daten (wie besuchte urls) freiwillig und ohne not an irgendwelche unternehmen schickt.. zum glück funktionieren adblocker genau umgekehrt: man bekommt eine filterliste und wertet lokal aus..

andererseits verstehe ich die aufregung nicht ganz - der deal war doch klar und es wurde nicht heimlich spioniert.. also wenn man bereit ist, google mit seinen vorlieben zu füttern, warum ist das dann so ein skandal wenn ein anderes schmieriges unternehmen etwas vom kuchen abhaben will?

 

[Janosch]

Jetzt mal ehrlich, seid ihr wirklich so gutgläubig das ihr davon ausgeht das es Addons gibt die keine Daten sammeln? Ich gehe da eher prinzipiell davon aus da die damit ja irgendwie Kohle verdienen wollen. Entweder man nimmt das halt in Kauf (so wie ich) oder man macht sich den Stress auf VPN usw. zurückzugreifen

Ich bin vorallem erstmal davon ausgegangen, dass ein add-on unmöglich hinter https schauen kann. Ok aber ich bin ein Laie, ich habe keine Ahnung.

schön doof, wenn man persönliche daten (wie besuchte urls) freiwillig und ohne not an irgendwelche unternehmen schickt.. zum glück funktionieren adblocker genau umgekehrt: man bekommt eine filterliste und wertet lokal aus..

Ich glaube fast jeder hier wird einen adblocker haben. Aber wieso sollten wir jetzt nicht betroffen sein (können)? Ich habe zwar dieses WoT nicht, aber wieso sollte uBlock Origin nicht dasselbe gemacht haben (können)? Wie können wir da sicher sein?

andererseits verstehe ich die aufregung nicht ganz - der deal war doch klar und es wurde nicht heimlich spioniert.. also wenn man bereit ist, google mit seinen vorlieben zu füttern, warum ist das dann so ein skandal wenn ein anderes schmieriges unternehmen etwas vom kuchen abhaben will?

Naja das hat doch jetzt mit google nichts zu tun. Eine andere Suchmaschine oder Internetadresse direkt eingeben, hätte doch hier auch nicht geholfen. Ich hatte halt tatsächlich darauf vertraut, dass es schon technisch für ein add-on gar nicht möglich ist Nutzereingaben (geschriebener Text) auszulesen.
Mich wundert es ehrlich gesagt, wieso das grad nicht kein größeres Thema in den Medien ist. Wenn Panorama da recht hat, sind doch jetzt 58 Millionen deutsche personalisierte Daten momenan zum Verkauf oder bereits verkauft worden. Da sind doch ca. 3/4 aller deutschen Erwachsenen betroffen.

 

[dexter]

Ich bin vorallem erstmal davon ausgegangen, dass ein add-on unmöglich hinter https schauen kann. Ok aber ich bin ein Laie, ich habe keine Ahnung.

Ein Addon wohnt direkt in Deinem Wohnzimmer Browser, das kann also jederzeit über Deine Schulter schauen.
edit: https verhindert, dass ausserhalb Deines Rechners jemand Deine URLs protokollieren kann. Also hinter Deinem DSL-Router an der Hauswand (nicht 100% korrekt, aber für Laien verständlich)

 

[electric.larry]

Ich versteh den "Aufschrei" eigentlich ganz gut. Wenn ein "normaler" User schon so weit ist, dass er sich Gedanken um seine Privatsphäre im Netz macht und sich guten Glaubens ein Addon mit so guten Bewertungen installiert, hat er allen Grund sich über solche Praktiken zu ärgern.

Glaubt man den weiter oben verlinkten Tests, dann dürfte uBlock Origin zumindest einigermaßen vertrauenswürdig sein. Außerdem scheint es auch von der Performance her die anderen Addons abzuhängen.

Find es gut, wenn solche Schlagzeilen ein bisschen Awareness bei Leuten ohne tiefen, technischen Background schafft. Mich erinnern solche Artikel zumindest daran, dass ich alle Browser-Addons wieder einmal deaktivieren sollte, wenn ich sie grad nicht brauch.

 

[Novgorod]

Ich glaube fast jeder hier wird einen adblocker haben. Aber wieso sollten wir jetzt nicht betroffen sein (können)? Ich habe zwar dieses WoT nicht, aber wieso sollte uBlock Origin nicht dasselbe gemacht haben (können)? Wie können wir da sicher sein?

adblocker haben ein grundsätzlich anderes funktionsprinzip: sie senden überhaupt keine daten irgendwohin zum remote-auswerten, sondern machen die auswertung lokal auf deinem computer anhand von filterlisten.. das einzige, was die hersteller von adblockern über dich wissen können, ist, wie oft du die filterliste updatest - und damit bist du von anderen nutzern nicht zu unterscheiden, weil jeder dieselben listen nutzt.. die einzig sinnvolle information, die das dem anbieter gibt, ist die anzahl der nutzer, so wie jeder webseitenbetreiber seine besucher zählen kann.. ob ublock trotzdem irgendwas nach hause schickt, habe ich nicht überprüft, aber das wäre trivial zu tun, denn es sollte (bis auf die listen-updates) garnichts irgendwohin schicken.. in dem fall wäre es heimliches datensammeln und exfiltrieren und somit wäre das addon per definition ein trojaner - dass das niemandem aufgefallen wäre, wage ich zu bezweifeln.. der "skandal" hier ist ja nicht, dass von der crapware daten nach hause geschickt werden (denn das wurde immer offen kommuniziert, da es die funktionsweise dieser addons ist), sondern dass die daten weiterverkauft werden (you don't say )..

firefox und chrome nutzen ebenfalls listen für ihren anti-phishing-schutz und das geht ohne jede besuchte url nach hause zu schicken.. der einzige grund warum crapware wie WoT keine offline-datenbank (d.h. filterliste) anbietet, ist doch offensichtlich um nutzerprofile zu erstellen, was auch sonst? stell dir vor, dein virenscanner würde jede zu scannende datei an den hersteller schicken um sie dort "überprüfen" zu lassen - hättest du ein gutes gefühl dabei?

Naja das hat doch jetzt mit google nichts zu tun. Eine andere Suchmaschine oder Internetadresse direkt eingeben, hätte doch hier auch nicht geholfen. Ich hatte halt tatsächlich darauf vertraut, dass es schon technisch für ein add-on gar nicht möglich ist Nutzereingaben (geschriebener Text) auszulesen.
Mich wundert es ehrlich gesagt, wieso das grad nicht kein größeres Thema in den Medien ist. Wenn Panorama da recht hat, sind doch jetzt 58 Millionen deutsche personalisierte Daten momenan zum Verkauf oder bereits verkauft worden. Da sind doch ca. 3/4 aller deutschen Erwachsenen betroffen.

ich meinte damit, dass google auch ohne irgendwelche spionier-addons fleißig daten sammelt, weil es jeder freiwillig nutzt (suche, youtube, gmail, maps usw.) und allein im google-"kosmos" so viele daten über sich hinterlässt (suchbegriffe, email-content usw.), dass daraus detaillierte profile für personalisierte werbung erstellt werden können.. und ob nun google alle deine emails liest (aber nicht den browserverlauf) oder ob WoT deinen browserverlauf kennt (aber nicht deine emails), macht jetzt vom skandalpotenzial her keinen großen unterschied, oder?

technisch gesehen kann ein addon auf alles zugreifen, was in deinem browser passiert (das wurde ja schon gesagt), aber das ist nicht der punkt.. WoT liest "nur" die url und den referrer der besuchten seite aus und schickt es nach hause zum "abgleich mit der datenbank" - genau das ist das funktionsprinzip und wurde nirgends verschwiegen.. darüberhinaus werden keine anderen daten ausspioniert, insbesondere keine nutzereingaben in formulare (z.b. login-daten), cookies oder ähnliches.. wenn die url selbst solche daten enthält, dann gilt halt RTFM (abgesehen davon, dass die seite in dem fall fürchterlich programmiert ist).. und auf die zahlen würde ich nicht so viel geben, die daten sind sicher höchst redundant und es glaubt doch niemand, dass WoT (oder meinetwegen alle crapware-addons zusammen) 58 millionen deutsche nutzer haben ..

 

[Baer]

Tarnkappe hat auch eine Meldung zum Thema herausgegeben.

Gruß
Baer

 

[poesie noire]

@Novgorod:

Die weitergegebenen Daten sind auch nicht das Problem, sondern das diese nicht anonymisiert und jedem User zuzuordnen sind. Diese werden dann exakt so an Dritte weitergegeben. Das ist so nicht kommuniziert und der User damit auch nicht die Möglichkeit sich dagegen zu entscheiden.
Hier wurde mit Vertrauen und Sicherheit geworben, was letztlich nicht praktiziert wurde. De Facto Scheiße.

 

[Sofa]

Kann man sich den sicherer sein, wenn man nur Addons nutzt, die von Mozilla signiert sind?

 

[poesie noire]

@Sofa:

Ich denke nicht. Gut wäre es, wenn es eine einfache Methode gäbe, die Add-Ons zu überprüfen. Stelle es mir für einen Laien relativ schwierig/aufwändig vor.

 

[Sofa]

Bei Mozilla steht etwas von vorgegebener Sicherheitsrichtlinien, die die Addons einhalten müssen, aber nicht welche. Es wäre ja zumindest nett zu wissen, ob die Anbieter den Code für die Entwickler zeigen müssen.

 

[mathmos]

@Sofa:

https://support.mozilla.org/de/kb/Add-on-Signierung-in-Firefox

Dort findest du neben genaueren Erklärungen auch Links wie https://developer.mozilla.org/de/Add-ons/AMO/Policy/Reviews.

Allerdings kann man bei dem ersten Link schon folgendes lesen:

Die Signierung der Add-ons zielt nur auf Malware und Browser-Manipulationen ab. Sie kontrolliert oder zensiert nicht den Inhalt, den Sie betrachten.

 

[drfuture]

Das eine Firma Daten Sammelt ist das eine - anders sind Div. Dienste auch gar nicht möglich.
Das man diese Informationen dann jedoch an dritte Verkauft und zusätzlich schlicht ohne merkliche Aufbereitung verkauft ist das andere.

Wie bei Tarnkappe geschrieben überträgt Google z.B. nur das nötigste für das Sichere Surfen...
Also wenn ich einen Dropbox Link anlicke evtl. als fiktives Beispiel nur http://get.dropbox.com/getfile/privat und nicht http://get.dropbox.com/getfile/privat?sessionhash=34343hjlj34kl23j42kl4j2lklj

Damit zwar das Laden böser Adressen verhindert werden kann - aber eben der Zugriff auf Private Daten nicht Möglich ist.
Ebenso müssen aus dem Protokoll Namen im allgemeinen Gefiltert werden - da reicht es eben nicht wenn keine IP dazu geliefert wird wenn die url owncloud.angela-merkel.de/share/Gerichtsverfahren.pdf heißt ....

All das ist scheinbar bei WOT nicht geschehen und zusätzlich werden die Daten Gewinnbringend verkauft was für den Dienst "Sichers Surfen" nicht notwendig ist und auch beim Installieren dem Anwender nicht klar gemacht wird.
Das WOT Daten sammelt und evtl. Statistisch auswertet usw. würde ich erst mal nicht verwerflich finden und ist zu erwarten.

 

[Novgorod]

Die weitergegebenen Daten sind auch nicht das Problem, sondern das diese nicht anonymisiert und jedem User zuzuordnen sind. Diese werden dann exakt so an Dritte weitergegeben. Das ist so nicht kommuniziert und der User damit auch nicht die Möglichkeit sich dagegen zu entscheiden.

hä? der user hat immer die möglichkeit, sich dagegen zu entscheiden, indem er seine daten garnicht erst an irgendeine firma schickt! stell dir vor, du nutzt ein addon, das alle deine passwörter bei sich in der "cloud" speichert, aus gründen der bequemlichkeit oder so.. würdest du einer firma all deine passwörter anvertrauen, weil sie sagt, dass sie in ihrer cloud sicher sind und hoch und heilig versprechen, sie nicht an dritte zu verkaufen? warum dann den kompletten browserverlauf? diese firmen kannst du niemals für irgendwas haftbar machen, was mit deinen daten geschieht, also kannst du nur darauf vertrauen, dass sie schon nichts böses damit anstellen - ich staune immer wieder über all die leute, die private daten allein auf vertrauensbasis an firmen rausrücken, die dazu noch ein eindeutiges geschäftsmodell haben (was WoT anbietet, lässt sich problemlos über lokale filterlisten lösen ohne seine daten irgendwo hinsenden zu müssen - die absicht hinter dem system ist also recht eindeutig)..

sobald ich irgendwas "ins internet" schicke, kann der empfänger erstmal grundsätzlich alles damit machen was er will - ich kann darauf hoffen, dass er sich an ethik und gesetze hält oder versuchen ihn irgendwie zu verklagen, wenn er mit meinen daten böses anstellt (haha) oder ich kontrolliere eben alles, was ich im internet von mir gebe und wohin - super simple stuff, oder?

 

[drfuture]

Du setzt aber detailiertes IT-KnowHow bei jedem Anwender Voraus - das ist schlicht Quatsch. Was wo "Lokal", "Remote" in irgend einer komischen Wolke oder wie auch immer passiert wissen 99% nicht und können Sie auch gar nicht wissen + unterscheiden weil schlicht der Hintergrund fehlt.
Und nein eine aktuelle Liste aller "bösen" Url's lässt sich sehr schlecht offline lokal mit Blocklisten erledigen - die DB ist *ein wenig* größer die hinter so etwas steckt.
Das die Prüfung bei einem Anbieter passiert ist aber schon mal ganz eine andere Hausnummer wenn nicht komplette url's übertragen werden sondern z.B. nur ein Hash einiger url-Bestandteile übertragen werden würde (wie es bei div. Seriösen Diensten die zum Teil auch im Großkundenumfeld gegen Geld in Betrieb sind auch passiert)

 

[poesie noire]

@Novgorod:

Nochmal, wenn ich personalisierte Daten weitergeben will ich das explizit wissen, dass dies so geschieht. Wird mir was anderes vorgegaukelt ist das schlichtweg Betrug.

 

[Novgorod]

@drfuture: virenscanner schaffen das auch mit einer lokalen db und etwas heuristik - hier ist es einzig und allein der unwille.. mit dem IT-knowhow hast du recht, aber das verdeutlicht doch nur meinen punkt: solche firmen können ungestraft machen was sie wollen, solange die masse es vorzieht, blöd zu bleiben.. dieser "skandal" wird überhaupt nichts ändern, weil weder die justiz noch die sog. "politik" hier etwas zum schutz der user tun kann, zumindest ohne die struktur der freien internets zu zerstören, und das wollen wir schlauen leute sicher nicht .. somit ist die einzige gegenmaßnahme, sich zu bilden, jemanden mit mehr ahnung zu fragen, oder zumindest niemals einer firma zu vertrauen, von der man nie was gehört hat, wenn man selbst keine ahnung hat.. gerade letzteres sollte auch für DAUs machbar sein..

@poesie noire: wenn sony sagt, meine daten sind bei ihnen sicher, und dann werden sie gehackt, ist die konsequenz für mich dieselbe wie hier - d.h. ob absicht dahinter steckt oder nicht, ist mir völlig egal, denn das ergebnis ist gleich.. bestimmt hat WoT gegen irgendwelche deutschen gesetze verstoßen, weil irgendwas nicht korrekt genug kommuniziert wurde - wen interessiert's? wer hat die AGB überhaupt gelesen und weiß was laut gesetz erlaubt ist und was nicht? wichtig ist nur, dass das überhaupt keine konsequenzen haben wird, weder für die firma noch für das verhalten der user.. der einzige wirksame schutz gegen missbrauch ist, keine daten preis zu geben.. mein punkt war lediglich: erwarte immer das schlimmste! wenn eine firma die möglichkeit hat, konsequenzenlos mehr profit zu machen, dann wird sie das auf jeden fall tun, auch wenn es verboten oder unethisch ist!

 

[drfuture]

Auch Virenscanner schaffen das schon lange nicht mehr lokal ....

 

[Novgorod]

hm? onlinezwang bei avira & co. wäre mir neu.. soweit es mir über den weg gelaufen ist, war es immer nur eine option um die heuristik (wenn sie anschlägt) zu verbessern, aber wir kommen vom thema ab ...

 

[dexter]

WOT funktioniert vom Prinzip etwas anders als ein Virenscanner. Wenn ich mich recht entsinne, kann man manuell mithilfe des Addons schädliche Seiten markieren, wenn das mehrere tun steigt (oder sinkt) der Score und wenn's ganz viele tun, schaut sich das evtl. mal wer genauer an... So die Schwarmintelligenzgeschichte.

Dass das (nahezu) ohne Usertracking auskommt ist also einleuchtend, der User muss nicht zwingend davon ausgehen, dass die die Daten dahingehend verknüpfen, dass da irgendwer Profile draus machen kann (so wie das hier passiert ist)