Wer eine Webseite besucht, liefert dem jeweiligen Betreiber damit im Normalfall auch jede Menge Daten. Doch in welchem Ausmaß solch ein Tracking erfolgt, variiert dabei stark. Eine aktuelle Studie zeigt nun, wie weit dabei einzelne Seiten gehen – und wie problematisch dieses Verhalten ist.

Session Replay

Laut Forschern der Universität von Princeton verwenden mindestens 482 der 10.000 weltweit beliebtesten Webseiten sogenannte "Session Replay"-Skripte, wie "Motherboard" berichtet. Diese erlauben es nicht nur, Mausbewegungen und Scrollverhalten der Nutzer aufzuzeichnen, sondern auch jegliche Tastatureingaben auf der Webseite zu erfassen – und zwar in Echtzeit.

Damit könnten sensible Daten auch dann erfasst werden, wenn sie gar nicht abgeschickt werden – etwa Kreditkarteninformationen oder auch Passwörter. Zudem werden diese Skripte üblicherweise von Drittanbietern geliefert, die so auch direkt an diese sensiblen Daten gelangen.

Betroffene Seiten

Auf der Liste der kritisierten Seiten befinden sich unter anderen die Webauftritte von Intel, HP und Lenovo. Aber auch der Pay-TV-Sender Sky sowie die russische Suchmaschine Yandex und die ebenfalls von Russland aus betriebene Nachrichtenseite "Sputniknews" vollziehen auf diese Weise eine Komplettüberwachung ihre Nutzer. Die Forscher betonen zudem, dass die Zahl 482 das absolute Minimum an betroffenen Webseiten darstellt, da solche Skripte nicht immer einfach aufzuspüren seien.

Unterschiede

Betont sei, dass dahinter nicht immer bösartige Absichten der Betreiber stecken müssen, oft werden Session-Replay-Skripte einfach zu Analyse- und Debugging-Zwecken genutzt. Wie viel die einzelnen Seiten dann konkret mitloggen, variiert ebenfalls stark. So nutzt etwa Yandex ein Skript, das von Haus aus wirklich alle eingegebenen Daten mitschneidet. Das besagte Skript befindet sich zudem auf vielen anderen Webseiten – womit die Informationen wieder an Yandex gelangen. Verschärft wird all dies noch dadurch, dass die besagte Datenübertragung zum Teil unverschlüsselt erfolgt, was wiederum den Weg für Man-in-the-Middle-Angriffe freimacht.

Reaktion

Einzelne der solcherart kritisierten Seitenbetreiber haben auf die Studie mittlerweile reagiert. So betont etwa Walgreens, keinerlei Daten mehr an den Session-Replay-Anbieter Full Story weiterzureichen. Die US-Drogeriekette hatte auf diesem Weg bisher Details zu Medikamentenverschreibungen und Krankheiten der Kunden ausgeplaudert. Auch der Bekleidungshersteller Bonobos hat das entsprechende Skript – über das man vollständige Kreditkartendaten der Käufer weitergegeben hatte – nach eigenen Angaben mittlerweile entfernt. (apo, 21.11.2017)