[Netzwelt] Browserverläufe von Millionen deutscher Nutzern verkauft

Laut dem ARD-Magazin Panorama verkaufen Anbieter von Browser-Addons getrackte Nutzerdaten im großen Umfang an Big-Data-Analysten. Das Magazin konnte Zugang zu Datensätzen erhalten, die Browserverläufe von ca. 3 Millionen Nutzer enthalten. Betroffen sind neben privaten Nutzern auch Personen des öffentlichen Lebens wie Polizisten, Manager und Journalisten.

Die Daten enthalten mehr als 10 Milliarden Web-Adressen. Diese sind anhand einer ID-Nummer einem Nutzer zugeordnet. Anhand dieser ID-Nummer lässt sich auch oft herausfinden, welche Person sich hinter der Nummer verbirgt.

NDR-Reporter haben im Zuge ihrer Recherchen eine Scheinfirma gegründet die vorgab im Big-Data Geschäft aktiv zu sein. Gleich mehrere Unternehmen haben dieser Scheinfirma angeboten Daten deutscher Internetnutzer zu verkaufen. Eines dieser Unternehmen hat die vorliegenden Datensätze als Kostprobe angeboten. Teilweise hatten die Journalisten sogar Live-Zugriff auf die Daten.

Laut dem Redakteur Jochen Becker stammen die Daten aus unterschiedlichen Addons. Um welche es sich genau handelt, verrät er allerdings nicht. Da die Entwickler der Addons oft aus dem Ausland, wie zum Beispiel Panama oder den Britischen Jungferninseln agieren, haben betroffen Nutzer kaum eine Chance juristisch gegen gegen den Verkauf ihrer Daten vorzugehen.

Quelle: Golem.de

 

[Janosch]

@Novgorod:

Also ich muss sagen, ich finde es sehr merkwürdig mit welcher "Egal-Attitüde" du hier kriminelles Verhalten kleinredest oder sogar verteidigst. Natürlich sind viele Menschen zu leichtsinnig, aber ich glaube das verfehlt hier das Thema irgendwie.

Ich selbst achte sehr darauf meine realen Daten, möglichst selten irgendwo im Internet preiszugeben. Es gibt aber Dienstleistungen, wie Online-Banking oder Online-Versand, die man natürlich ohne Realdaten nicht nutzen kann. Und wenn da ein Browser Add-on einfach in meinem Amazon Account z.B. meinen Namen, meine Adresse und meine Bankverbindung mitliest, speichert und dann verkauft. Ja sorry, dann finde ich das ziemlich uncool und skandalös??!

Die NDR-Reporterin im Test, die diese Daten aufkaufen wollte, könnte ja auch eine Scammerin sein. Es kam jetzt nicht so rüber, als ob es die Verkäufer irgendwie interessierte, wofür sie die Daten verwenden will.
Ja und dann ist ratzfatz dein Konto leer, oder schlimmeres noch, Stichwort Identitätsdiebstahl.

adblocker haben ein grundsätzlich anderes funktionsprinzip: sie senden überhaupt keine daten [...] in dem fall wäre es heimliches datensammeln und exfiltrieren und somit wäre das addon per definition ein trojaner - dass das niemandem aufgefallen wäre, wage ich zu bezweifeln..

Wie du aber siehst ist es bisher niemandem aufgefallen oder zumindest niemandem, der uns kommunikativ erreicht hat. Vielleicht brauchte es Panorama wegen der Bekanntheit oder sie waren tatsächlich die ersten, das weiss ich nicht.
Nur ist jetzt ein Add-on bekannt, bloß es werden wahrscheinlich noch hunderte oder tausende Add-ons das gleiche gemacht haben. Noch ist nur sicher nicht betroffen, wer 0 Add-ons benutzt hat.

der "skandal" hier ist ja nicht, dass von der crapware daten nach hause geschickt werden (denn das wurde immer offen kommuniziert, da es die funktionsweise dieser addons ist), sondern dass die daten weiterverkauft werden (you don't say )..

Es wurde dir ja bereits von anderen Usern wiederholt erklärt, was der Skandal ist. Es geht darum, dass die Daten zum größten Teil personalisiert sind, also echte Personen damit identifiziert werden können.

ich meinte damit, dass google auch ohne irgendwelche spionier-addons fleißig daten sammelt, weil es jeder freiwillig nutzt (suche, youtube, gmail, maps usw.) und allein im google-"kosmos" so viele daten über sich hinterlässt (suchbegriffe, email-content usw.), dass daraus detaillierte profile für personalisierte werbung erstellt werden können.. und ob nun google alle deine emails liest (aber nicht den browserverlauf) oder ob WoT deinen browserverlauf kennt (aber nicht deine emails), macht jetzt vom skandalpotenzial her keinen großen unterschied, oder?

Doch schon, das ist ein großer Unterschied. Meinen Realnamen gebe ich ja nicht in Google ein und ich gebe ihn natürlich nicht in Googlemail ein. Ich habe auch kein Googlemail account, weil ich das aus Datenschutzsorgen vom "googlen", also "Suchen" strikt trenne.
Bloß die ganze Vorsicht nutzt mir ja nichts, wenn am Ende das "Ecosia" (The search engine that plants trees!) Add-on mein Amazonkonto ausspäht und die Daten dann verkauft?

Und selbst wenn ich im Google-Kosmos so viele Daten hinterlassen würde, dass sie ziemlich genau wissen was für ein Mensch ich bin. Es ist nochmal ein Unterschied, ob sie meinen echten Perso-Namen kennen. Ja und das habe ich bisher eigentlich erfolgreich vermieden, aber jetzt bin ich vielleicht auch betroffen. Das ärgert mich schon, weil ich jetzt das Gefühl habe viel Zeit aufgewendet zu haben ohne ein besseres Ergebnis, als diejenigen die sich gar nicht um ihre Daten gekümmert haben.

technisch gesehen kann ein addon auf alles zugreifen, was in deinem browser passiert (das wurde ja schon gesagt), aber das ist nicht der punkt.. WoT liest "nur" die url und den referrer der besuchten seite aus und schickt es nach hause zum "abgleich mit der datenbank" - genau das ist das funktionsprinzip und wurde nirgends verschwiegen.. darüberhinaus werden keine anderen daten ausspioniert, insbesondere keine nutzereingaben in formulare (z.b. login-daten), cookies oder ähnliches.. wenn die url selbst solche daten enthält, dann gilt halt RTFM (abgesehen davon, dass die seite in dem fall fürchterlich programmiert ist).. und auf die zahlen würde ich nicht so viel geben, die daten sind sicher höchst redundant und es glaubt doch niemand, dass WoT (oder meinetwegen alle crapware-addons zusammen) 58 millionen deutsche nutzer haben ..

Nein das ist einfach falsch bzw. das kannst du nicht wissen..
Schau dir den Beitrag nochmal genau an. Es geht explizit auch um Eingabedaten, zum Beispiel in Formulare eingegebene Daten, ebenso um Logindaten.

Bei dem Polizisten ging es genau um die bei Google translate eingegeben Daten, die haben ihn genau namentlich identifiziert.
Bei dem Richter haben sie es leider nicht genau erklärt, wie es bei ihm passiert ist.
Bei der Journalistin (im Selbstest) waren es die Login-Daten für ihren mail-account mit ihrem Realnamen, der mitgeschrieben wurde.

Zu den Zahlen: 3 Millionen waren von WoT. Die 58 Millionen sind die von allen genauso arbeitenden Add-ons insgesamt gesammelt wurden. Ob da auch doppelte Daten dabei sind? Keine Ahnung. Auch wenn es real noch deutlich weniger sind, immernoch schlimm genug.
Davon sind ein Großteil personalisiert! Ob das nun 60% oder eher 80% bedeutet, ist auch irgendwie egal. Für mich bedeutet es: Das betrifft verdammt viele! Und ich könnte auch dabei sein. Und wenn dieses Daten am Ende nur für Werbung genutzt werden, dann haben alle nochmal Glück gehabt.

 

[Baer]

Tarnkappe: Bundespolitiker vom Web-of-Trust-Datenverkauf betroffen


Gruß
Baer

 

[sia]

Also WOT und Ghostery sind betroffen, welche noch?

Wollen wir mal eine Liste von garantiert sicheren und unsicheren Addons erstellen?

uBlock Origin ist safe, hab den Quellcode "damals" beim "Fork" gelesen. Die Community würde glaube ich nerven, wenn Tracking eingebaut wird. Der Entwickler hat auch gar keine Lust und Zeit dazu.

 

[mathmos]

Wollen wir mal eine Liste von garantiert sicheren und unsicheren Addons erstellen?

Wäre durchaus interessant. Aber wer kann hier die Garantie geben? Oder anders gesagt, wer kann den Sourcecode analysieren und hat dafür auch Zeit und Lust? So eine Liste müsste zudem auch aktuell gehalten werden. Einmal sicher bedeutet ja nicht immer sicher.

uBlock Origin ist safe, hab den Quellcode "damals" beim "Fork" gelesen. Die Community würde glaube ich nerven, wenn Tracking eingebaut wird. Der Entwickler hat auch gar keine Lust und Zeit dazu.

[Verschwörungstheorie]

Das Projekt uBlock Origin nimmt keine Spenden an. Die verkaufen bestimmt schon Nutzerdaten.

[/Verschwörungstheorie]

SCNR

 

[drfuture]

Musst ja nicht zwingend den SourceCode lesen - man könnte ja auch erst mal den Traffic anschauen den das Addon verursacht

 

[mathmos]

Wäre auch eine Möglichkeit. Aber Wireshark ist jetzt auch kein Tool mit dem jeder umgehen bzw. die Ergebnisse richtig interpretieren kann. Oder gibt es da etwas das leichter zu bedienen ist? Edit: Das müsste man dann aber länger laufen lassen. Für den Fall dass nur unregelmäßig bzw. periodisch versendet wird.

Besteht die Möglichkeit, dass ein Addon solche Programme erkennt (wie es bei den normalen Windows-Schädlingen ja inzwischen fast schon normal ist)?

 

[sia]

Das Projekt uBlock Origin nimmt keine Spenden an. Die verkaufen bestimmt schon Nutzerdaten.

uBlock selbst nimmt Spenden an, die sind bestimmt total vertrauenswürdig /s

Traffic anschauen

Wie denn? Mit Wireshark siehst du ja nur den gesamten Firefox-Traffic. Das stelle ich mir genauso aufwändig vor wie Sourcecode lesen. Man muss ja nicht den ganzen Code lesen und verstehen, überfliegen reicht ja.

In diversen Sprachen gibt es ja diverse Methoden, nach außen zu kommunizieren. Sind die Addons nicht (fast) alle in JS geschrieben? Dann könnte man einen einfachen Scanner in Python schreiben, der sämtliche Möglichkeiten zum Versenden von Daten des Addons mit Codezeile auflistet, die man dann nur noch abgrasen muss, ob da Nutzerdaten rausgehen.

 

[drfuture]

Nach meinen Verständnis nicht..
Netmon von Microsoft ist recht schön (alte Version, kann ich mal suchen - die neue ist blöd ^^) - Dabei wird nach Klick auf *record* der Traffic direkt der Application / einem Prozess zugeordnet, dann noch nach z.B. http / https filtern.

Klar wenn https verwendet wird kommt man erst mal nicht mit einem Klick rein - nur ist ja erst mal die Frage ob ein Addin Daten sendet.

Edit @gesamter Traffic,
ja wird wohl der gesamte FF / Chrome Traffic sein - aber man muss ja nicht wie gewohnt 22 Tabs offen haben sondern nur eine Testseite die bekannten Traffic erzeugt, z.B. 1x die Minute ein Bild läd.

 

[Novgorod]

Also ich muss sagen, ich finde es sehr merkwürdig mit welcher "Egal-Attitüde" du hier kriminelles Verhalten kleinredest oder sogar verteidigst. Natürlich sind viele Menschen zu leichtsinnig, aber ich glaube das verfehlt hier das Thema irgendwie.

da hast du was missverstanden.. für mich stehen solche "dienste" auf einer stufe mit phishing-mails, die dich dazu bringen sollen, deine logindaten zu verraten - aber anstatt mich über die bösen phisher aufzuregen, gegen die niemand vorgehen kann, versuche ich lieber den leuten einfachste verhaltensregeln im umgang mit dem internet beizubringen (z.b. die absender-domain oder die adresse in der adressleiste checken), damit sie sich selbst vor sowas schützen anstatt darauf zu warten, dass die internetregierung internetgesetze gegen internetscams beschließt, die von der internetpolizei durchgesetzt werden .. all diese bösewichte im internet sind vergleichbar mit seuchen, gegen die es kein heilmittel gibt - das beste was man da tun kann, ist, sich nicht anzustecken.. und diejenigen, für die das alles immernoch #neuland ist, sollen sich eben davon fernhalten oder jemanden fragen, der sich damit auskennt - wenn sie aber mutwillig und fahrlässig risiken eingehen, läuft das im weitesten sinne unter "selber schuld".. die scammer werden nicht verschwinden, nur wenn sich alle laut genug aufregen..

beim rest bringst du einiges durcheinander:

1. es braucht kein panorama, um herauszufinden, ob auf lokalen listen basierende filter-addons (wie adblocker) heimlich daten ausspionieren und nach hause schicken, das kriegt auch jeder selbst hin, der mit wireshark umgehen kann und 10 minuten zeit opfern will.. andererseits kannst du auch nicht 100%ig ausschließen, dass jedes programm auf deinem rechner in wirklichkeit ein trojaner sein kann, der daten sammelt - das macht sogar windows selbst ohne es zu verheimlichen .. in diesem fall haben aber alle gewusst (bzw. wissen können) welche daten gesammelt werden, daher ist das nach-hause-schicken nicht mehr "betrug" als das was windows macht.. in diesem "skandal" geht es lediglich um die mutmaßlich illegale nutzung der daten seitens der firma, nicht um deren erhebung - das ist ein gewaltiger unterschied..

2. das addon späht deinen amazon-account nicht aus, weil es keine inhalte von webseiten verarbeitet! alle persönlichen daten, die es abgreift, sind ausschließlich in der URL.. wenn die URL aussieht wie hier: https:://ngb.to/login.php?user=Janosch&password=deinemama - dann ist das bedauerlich, weil der seitenbetreiber offenbar seit den 90ern keine guidelines zur web-programmierung mehr gelesen hat und man sollte solche seiten prinzipiell meiden, da man sich dort potenziell wesentlich schlimmeres einfängt als datensammler.. keine "seriöse" seite packt heutzutage noch teile des logins in die URL und wenn doch, ist das der größere skandal .. ebenso ist es ziemlich unwahrscheinlich, dass dein name, geburtsdatum und anschrift (also das was für identitätsklau nötig ist) direkt als parameter in der URL erscheinen, ebensowenig wie deine kontonummer oder kreditkarten-daten.. google translate und ähnliche dienste (suche, maps usw.) sind ein sonderfall, weil sie die eingegebenen begriffe tatsächlich in die URL schreiben.. der zweck davon ist, dass man auf diese weise einen direktlink zum suchergebnis teilen kann, ohne dass google für jede mögliche suchanfrage einen individuellen schlüssel generieren und permanent speichern muss; ein anderer zweck ist die nutzung als simple GET-API von webanwendungen aus..

3. die datenscammer (inkl. google) sind garnicht so sehr an deinem realnamen interessiert, auch weil sie ihn aus den URL-parameterdaten nicht wirklich zuverlässig ermitteln können (nur mit viel glück bei schlecht programmierten seiten, wenn du tatsächlich deinen realnamen als teil der emailadresse o.ä. benutzt hast, wenn der name eindeutig aus dem alias hervorgeht und der mond gerade günstig steht).. die metadaten sind viel interessanter, also welche seiten du wie oft besuchts, welche amazon-artikel du dir anschaust und welche suchbegriffe du nutzt - damit kennen sie genau deine vorlieben und können werbung auf dein verhalten optimieren, ohne deine perso-daten wissen zu müssen.. ich würde einem fremden eher meinen namen verraten als meine persönlichkeit und vorlieben - letzteres ist doch viel privater und intimer, daher verstehe ich auch nicht, warum alle offenbar damit einverstanden sind, dass über sie persönlichkeitsprofile erstellt werden, nur solange die datensammler nicht den realnamen kennen ..

 

[poesie noire]

Das Add-On WOT wird ab sofort nicht mehr bei Mozilla und Google gelistet. Bei Add-Ons die auf die Daten von WOT zugreifen (wot ratings for ecosia, wot scoreguard) häufen sich die negativen Kommentare.

 

[Janosch]

da hast du was missverstanden.. für mich stehen solche "dienste" auf einer stufe mit phishing-mails, die dich dazu bringen sollen, deine logindaten zu verraten - aber anstatt mich über die bösen phisher aufzuregen, [...] läuft das im weitesten sinne unter "selber schuld".. die scammer werden nicht verschwinden, nur wenn sich alle laut genug aufregen..

Ok, bloß irgendwelche "Dienste" (Add-Ons) braucht man halt. Ich meine wer will schon durch ein Internet surfen, wo überall Banner blinken und Seiten aufpopen. Du doch auch nicht?
Also ein paar Add-Ons muss man halt vertrauen, bzw. darauf vertrauen, dass fachkundige User die geprüft haben. So bin ich zum Beispiel von Adblock Plus auf UBlock Origin umgestiegen, weil das hier im Forum diskutiert und empfohlen wurde.

1. es braucht kein panorama, um herauszufinden, ob auf lokalen listen basierende filter-addons (wie adblocker) heimlich daten ausspionieren und nach hause schicken, das kriegt auch jeder selbst hin, der mit wireshark umgehen kann und 10 minuten zeit opfern will.. andererseits kannst du auch nicht 100%ig ausschließen, dass jedes programm auf deinem rechner in wirklichkeit ein trojaner sein kann, der daten sammelt - das macht sogar windows selbst ohne es zu verheimlichen .. in diesem fall haben aber alle gewusst (bzw. wissen können) welche daten gesammelt werden, daher ist das nach-hause-schicken nicht mehr "betrug" als das was windows macht..

Ja, bloß ich glaube du mutest dem Durchschnittsuser da zuviel zu. Wer scannt schon Firefox mit Wireshark? (me not..)
Und selbst da merkst du ja gerade, dass sich nichtmal die Experten hier einig sind, wie man den Traffic dann richtig ausliest, wenn Wireshark scheinbar den Firefox Traffic nur als ein Ganzes anzeigt und nicht nach Add-ons differenziert.
Und wie gesagt: Der Traffic an sich ist ja nicht das Problem, sondern das Folgende..

in diesem "skandal" geht es lediglich um die mutmaßlich illegale nutzung der daten seitens der firma, nicht um deren erhebung - das ist ein gewaltiger unterschied..

Doch es geht doch auch um die Art der Erhebung. Bei der Erhebung hätten die Daten anonymisiert werden müssen. Der Skandal ist, dass hier (scheinbar bewusst) personalisierte Daten verkauft wurden/werden. Spekulativ eben auch an eine Kundschaft (Scammer), die für solche Daten eventuell mehr bezahlen als Werbeleute.

2. das addon späht deinen amazon-account nicht aus, weil es keine inhalte von webseiten verarbeitet! alle persönlichen daten, die es abgreift, sind ausschließlich in der URL.. wenn die URL aussieht wie hier: https:://ngb.to/login.php?user=Janosch&password=deinemama - dann ist das bedauerlich, weil der seitenbetreiber offenbar seit den 90ern keine guidelines zur web-programmierung mehr gelesen hat und man sollte solche seiten prinzipiell meiden, da man sich dort potenziell wesentlich schlimmeres einfängt als datensammler.

Gut, danke für die Erklärung. Das wurde dann in dem Panorama Beitrag nicht genau genug erklärt. Oder ich habs halt nicht kapiert.

google translate und ähnliche dienste (suche, maps usw.) sind ein sonderfall, weil sie die eingegebenen begriffe tatsächlich in die URL schreiben.. der zweck davon ist, dass man auf diese weise einen direktlink zum suchergebnis teilen kann, ohne dass google für jede mögliche suchanfrage einen individuellen schlüssel generieren und permanent speichern muss; ein anderer zweck ist die nutzung als simple GET-API von webanwendungen aus..

Ok, danke für die Erklärung. Das verstehe ich jetzt.
Im Fall des Polizisten finde ich es auch echt ein wenig leichtsinnig, eine komplette mail in google translate zu kopieren. Da sollten eigentlich die internen Vorschriften vorschreiben, dass sowas entweder nur lokal übersetzt wird oder online zumindest nur Bruchstücke, aber natürlich ohne Aktenzeichen und echten Namen.. schon skuril sowas.

die metadaten sind viel interessanter, also welche seiten du wie oft besuchts, welche amazon-artikel du dir anschaust und welche suchbegriffe du nutzt - damit kennen sie genau deine vorlieben und können werbung auf dein verhalten optimieren, ohne deine perso-daten wissen zu müssen.. ich würde einem fremden eher meinen namen verraten als meine persönlichkeit und vorlieben - letzteres ist doch viel privater und intimer, daher verstehe ich auch nicht, warum alle offenbar damit einverstanden sind, dass über sie persönlichkeitsprofile erstellt werden, nur solange die datensammler nicht den realnamen kennen ..

Ist vielleicht Ansichtssache. Ich habe halt mehr Angst vor einem Scam, als vor individueller Werbung. Werbung nervt halt nur..(und ich blende sie ja per Add-on aus )
Meine Vorlieben sind sicherlich intim, aber solange sie nicht mit meinem realen Namen verknüpft werden, entsteht mir noch (heutzutage) kein Schaden.

Also WOT und Ghostery sind betroffen, welche noch?

Ghostery auch? Weil die Reporterin in dem Beitrag hatte Ghostery auch installiert auf dem Notebook, aber dann haben sie ja nur von WoT gesprochen?

 

[KaPiTN]

Ghostery auch? Weil die Reporterin in dem Beitrag hatte Ghostery auch installiert auf dem Notebook, aber dann haben sie ja nur von WoT gesprochen?

Ja. Wenn man dem Zustimmt.

 

[Trolling Stone]

@KaPiTN:

Sicher, dass es nicht auch ohne Zustimmung passiert?

 

[KaPiTN]

Um sicher zu sein müßte ich wirklich nachschauen.
Aber wenn in den FAQ auf die Frage "Wie weiß ich, dass das wirklich alles ist, was Sie erfassen?" steht, man könne sich ja den Quellcode anschauen und ich habe ihn jetzt hier geöffnet vor mir, dann spricht das zumindest stark dafür.

 

[sia]

Ob der Quellcode im Repository derselbe ist, der auch im Mozilla-Addon-Verzeichnis liegt?

Das könnte man nur mit reproducible builds verifizieren, die bietet Mozilla aber iirc nicht an.

Den Traffic könnte man sicher durch ein weiteres Addon noch aufdröseln, solange da nichts sandboxed ist. Wireshark habe ich eben mal in ner VM ausprobiert und es ist echt schwer, beim normalen Surfen durch die schiere Menge an Requests sinnvoll zu filtern, wenn man die Nadel im Heuhaufen sucht. Sind nämlich unter Umständen nur 3-4 Requests, die innerhalb der 1000 anderen ohne gescheiten Filter einfach untergehen.

Und für ein richtiges Audit habe ich leider keine Zeit; dafür bezahlt auch keiner. Die meisten sagen wohl eher "OH! NEIN!" und installieren dann das nächste dumme Add-on. Aus Snowden hat niemand was gelernt; ich selbst war schon vorher vorsichtig.

 

[KaPiTN]

Ob der Quellcode im Repository derselbe ist, der auch im Mozilla-Addon-Verzeichnis liegt?

Was interessiert mich das Repository?

Ich schaue doch bei meinem Firefoxprofil in den Extensions-Ordner.

 

[Novgorod]

Ok, bloß irgendwelche "Dienste" (Add-Ons) braucht man halt. Ich meine wer will schon durch ein Internet surfen, wo überall Banner blinken und Seiten aufpopen. Du doch auch nicht?
Also ein paar Add-Ons muss man halt vertrauen, bzw. darauf vertrauen, dass fachkundige User die geprüft haben. So bin ich zum Beispiel von Adblock Plus auf UBlock Origin umgestiegen, weil das hier im Forum diskutiert und empfohlen wurde.

das sind eben grundsätzlich verschiedene arten von diensten: WoT und andere scam-addons sind "submission-dienste", an die man eine anfrage schickt und darauf eine antwort erhält.. adblocker/filter sind "subscription-dienste", die dir pauschal filterlisten zur verfügung stellen und die du nicht für jedes einzelne ereignis fragen musst - sie können also prinzipbedingt garnicht wissen, was genau du alles filterst.. ob im hintergrund etwas heimlich (und somit illegal) ausspioniert wird, ist eine andere frage, aber allein schon vom funktionsprinzip her sind erstere grundsätzlich unsicher (weil man ihnen daten schicken muss) und letztere eben nicht (weil sie garnichts von dir haben wollen).. selbst adblock plus spioniert (zumindest vom prinzip her) nicht, sondern macht "nur" krumme geschäfte, indem sie die user bitten, doch bitte ihre "subscriptions" so anzupassen, dass die firma geld verdienen kann - und das ist weder zwingend noch heimlich.. ich bin letztlich auch auf ublock umgestiegen, aber einzig aus dem grund, weil es rigoroser filtert und mehr anti-adblock-skripte umgeht als adblock plus..

das ist allerdings das einzige addon, das ich nutze, was in dem sinne überhaupt ein "dienst" ist.. alle anderen addons sind entweder rein technischer art ohne irgendwelche subscriptions (z.b. foxyproxy) oder rein lokale filter (z.b. noscript mit selbst definierter whitelist) oder verändern nur die darstellung von webseiten (z.b. greasemonkey) - keins von denen muss irgendwelche daten aus dem internet abrufen oder ins internet senden (abgesehen vielleicht von auto-updates des addons, die man auch kontrollieren kann)..

Ja, bloß ich glaube du mutest dem Durchschnittsuser da zuviel zu. Wer scannt schon Firefox mit Wireshark? (me not..)

ein durchschnittsuser kann sicher nicht mit wireshark umgehen .. ich wollte damit nur sagen, dass es zumindest für einen "experten" (das können auch interessierte laien sein) kein großer aufwand wäre, das ein für allemal zu klären.. eine testumgebung kann man relativ einfach aufsetzen, z.b. nur eine simple webseite ohne eingebettete referenzen von anderen seiten besuchen und die IP dieser seite aus dem aufgezeichneten datenverkehr rausfiltern.. alles andere ist dann traffic vom browser selbst (z.b. suche nach updates), der sich auch anhand der domains/IPs leicht filtern lässt, und was übrig bleibt, stammt dann vom addon (zum testen installiert man natürlich nur das eine) - der zur IP gehörende domainname dürfte dann ziemlich eindeutig sein.. wenn man das mal einen tag lang oder so mitloggt, dürften sich nach hause telefonierende addons ziemlich sicher verraten.. auch anhand der gesendeten datenmengen weiß man schnell, ob das nur ein update-check ist oder ob gesammelte daten versendet werden..

Doch es geht doch auch um die Art der Erhebung. Bei der Erhebung hätten die Daten anonymisiert werden müssen.

warum? wurde das denn irgendwo versprochen? natürlich würde es für den dienst reichen, wenn nur die domain statt der ganzen URL gesendet wird, aber rein rechtlich kannst du das nicht erzwingen (genauso wie du microsoft nicht zum ausschalten der spionierdienste zwingen kannst, du kannst lediglich versuchen, sie selbst zu blocken).. und selbst bei dem argument brauchen sie lediglich zu behaupten, dass sie ihr "rating" nicht nur nach domains, sondern z.b. nach unterbereichen der seite vergeben und dafür die volle URL brauchen, auch wenn das in der realität wenig sinn macht.. nicht-anonymisierte erhebung ist nicht verboten, wurde nie versprochen und ist auch nicht das thema des skandals.. die speicherung und der weiterverkauf ist das problem, aber das geschieht alles außerhalb deines computers..

Im Fall des Polizisten finde ich es auch echt ein wenig leichtsinnig, eine komplette mail in google translate zu kopieren. Da sollten eigentlich die internen Vorschriften vorschreiben, dass sowas entweder nur lokal übersetzt wird oder online zumindest nur Bruchstücke, aber natürlich ohne Aktenzeichen und echten Namen.. schon skuril sowas.

absolut.. es ist auch sehr beunruhigend, wie umfangreich z.b. google-dienste wie gmail und terminplaner in behörden und auch universitäten eingesetzt werden, obwohl es sehr wohl vorschriften gibt, das nicht zu tun.. in diesem fall wurden die daten zufällig vom scam-addon abgegriffen und plump verkauft, aber in jedem fall werden die daten ja von google selbst abgegriffen und selbstverständlich gespeichert (die sind ja nicht umsonst der weltweit größte abnehmer von festplatten).. google wird die daten wohl nicht so plump verkaufen wollen, aber dafür hat jeder US-geheimdienst einen ungestörten einblick in die terminpläne und emails deutscher staatsdiener.. ironischerweise nehmen firmen hier die datensicherheit wesentlich ernster, aber wenn's bloß um den staat geht - wen juckt's, richtig?

Ist vielleicht Ansichtssache. Ich habe halt mehr Angst vor einem Scam, als vor individueller Werbung. Werbung nervt halt nur..(und ich blende sie ja per Add-on aus )
Meine Vorlieben sind sicherlich intim, aber solange sie nicht mit meinem realen Namen verknüpft werden, entsteht mir noch (heutzutage) kein Schaden.

der schaden entsteht aber kollektiv! es ist doch gerade der hauptzweck dieser "big-data"-arschgeigen-"beratungs"-firmen, die vorlieben der masse zu studieren, um gezielt preise zu erhöhen, das angebot zu verknappen, neuen scheiß auf den markt zu bringen und PR- und werbekampagnen zu gestalten.. unter der marktoptimierung leiden wir letztlich alle, wenn wir denen das feedback für die optimierung liefern.. bei solchen datensammelgeschichten im großen stil geht es garnicht so sehr um personalisierte werbung für dich (WoT teilt ja den werbenetzwerken nicht in echtzeit deine aktuelle IP-adresse mit, jedenfalls im moment nicht), sondern um die marktforschung und -optimierung im ganzen.. und wie gesagt, zum echten scammen bekommen sie allein aus dem browserverlauf nicht genügend sensible daten - eine plumpe phishing-mail mit deinem realnamen als anrede (der sich eh aus der email-adresse erschließen lässt), ist da schon das höchste der gefühle und das passiert sowieso schon ständig, weil man seine email-adresse an so vielen orten im internet eingibt.. welche echten negativen folgen hätte es denn, wenn sie einen namen zum profil hätten?

 

[Sofa]

wichtige Daten in den Google Übersetzer eingeben ist aber schon ein wenig doof. aber sonst ist das doch morgen schon wieder vergessen. Ist ja nicht nur Facebook.
Wer benutzt denn noch Skype und hat nicht schon wieder vergessen, daß Microsoft die Chats mitliest?

 

[NoName1954]

Chrome und Firefox haben WOT rausgeschmissen.

Edith meint, ich wäre zu lahm für dieses Board:
https://ngb.to/threads/26491-Web-of-Trust-Mozilla-und-Google-entfernen-schädliches-Add-On

 

[Sofa]

Was bedeutet das? Man kann die nicht offiziell runterladen, aber weiter installieren

Werden die nach dem nächsten Update gesperrt?