Vorsicht: Webformulare werden schon vor dem Absenden ausgelesen
2022-05-24
Man kennt es von den Eingaben ins Suchfeld bekannter Suchmaschinen: Bevor man mit dem Eintippen fertig ist, werden einem schon Vorschläge zur Komplettierung gemacht - dank Javascript steht die Suchmaschione in ständiger Verbindung mit dem Browser und "ahnt" schon, was man tippen will, bevor man es überhaupt abgeschickt hat.
Weniger schön ist es, dass dasselbe auch bei Kontaktformularen passiert, und zwar jener Sorte, die erstmal Namen, Alter, Wohnort, Schuhgröße und Lieblingsspeise der Großmutter abfragt, bevor man überhaupt dazu kommt, sein Anliegen einzutippen. Wird es einem dann angesichts der Neugierigkeit des Webformulars zu blöd und man entschließt sich, dieses doch nicht zu komplettieren, ist es lt. The Register eventuell schon zu spät: Die persönlichen Daten sind längst übertragen!
In einem Forschungsbericht, der noch in diesem Jahr auf der Sicherheitskonferenz Usenix '22 erscheinen soll, beschreiben die Autoren, wie sie die Datenverarbeitung in Webformularen auf den 100.000 wichtigsten Websites gemessen haben, die von der Forschungsseite Tranco aufgelistet wurden. Sie haben dazu eine eigene Software entwickelt, um die Erfassung von E-Mail- und Kennwortdaten in Webformularen zu messen.
Tracking-, Marketing- und Analysefirmen haben die E-Mail-Adressen von Internetnutzern aus Webformularen abgegriffen,
bevor diese überhaupt abgeschickt wurden - und das ohne die Zustimmung
der Nutzer. Einige dieser Firmen sollen auch Passwörter aus diesen Formularen entwendet haben.
"Unsere Analysen zeigen, dass die E-Mail-Adressen von Nutzern vor dem Absenden von Formularen und ohne deren Zustimmung auf 1.844 Websites im EU-Crawl und 2.950 Websites im US-Crawl exfiltriert werden", schreiben die Forscher in ihrem Papier und weisen darauf hin, dass die Adressen je nach Anbieter unverschlüsselt, verschlüsselt, komprimiert gespeichert und auch gehackt werden können.
Die meisten der erbeuteten E-Mail-Adressen wurden an bekannte Tracking-Domains gesendet, obwohl die Wissenschaftler 41 Tracking-Domains identifiziert haben, die auf keiner der gängigen Blocklisten zu finden sind."Darüber hinaus haben wir festgestellt, dass auf 52 Websites unbeabsichtigt Passwörter durch Session-Replay-Skripte von Drittanbietern gesammelt wurden", so die Forscher.
E-Mail-Adressen, so die Forscher, sind ein Ersatz für die mittlerweile von Browsern besser kontrollierten Cookies, da sie eindeutig und beständig sind und dazu verwendet werden können, Personen über Anwendungen, Plattformen und sogar Offline-Interaktionen hinweg zu verfolgen, die mit einer E-Mail-Adresse verknüpft sein können, wie z. B. Transaktionen mit Kundenkarten. Zudem besteht natürlich die Gefahr, dass sie spätestens nach einem Hack zusätzlich für Spam missbraucht werden.
Zu den Website-Kategorien mit den meisten "undichten" Formularen gehören: Mode/Schönheit (11,1 Prozent, EU; 19 Prozent USA); Online-Shopping (9,4 Prozent EU; 15,1 Prozent USA); und allgemeine Nachrichten (6,6 Prozent EU; 10,2 Prozent USA). Websites, die als Pornografie kategorisiert wurden, boten dagegen die beste Privatsphäre, wenn es um das heimliche Sammeln von Formulardaten geht.
"Ein überraschendes Ergebnis war das folgende: Trotz des Ausfüllens von E-Mail-Feldern auf Hunderten von Websites, die als Pornografie kategorisiert sind, haben wir kein einziges E-Mail-Leck", so die Forscher, die anmerken, dass frühere Studien über Websites, die sich an Erwachsene richten, relativ wenig Tracker von Dritten aufweisen als ähnlich beliebte Websites von allgemeinem Interesse.
Die Autoren des Berichts stellen fest, dass EU-Websites, die E-Mail-Exfiltration praktizieren, möglicherweise gegen mindestens drei Anforderungen der Datenschutz-Grundverordnung verstoßen: Transparenz, Zweckbindung und vorherige Zustimmung. Unternehmen, die gegen diese Vorschriften verstoßen, können gemäß Artikel 83 Absatz 5 mit einer Geldstrafe von bis zu 20 Millionen US-Dollar oder 4 Prozent des Jahresumsatzes belegt werden.
Die Autoren geben an, dass sie versucht haben, 58 Erstanbieter und 28 Drittanbieter mit GDPR-Anfragen zu kontaktieren. Sie berichten, dass sie 30 Antworten von den Erstanbietern erhalten haben, die von Überraschung und Abhilfe bis hin zu Rechtfertigungen der einen oder anderen Art reichten. Die Hotelkette Marriott erklärte beispielsweise, dass die von der digitalen Analysefirma Glassbox gesammelten Informationen bei der Kundenbetreuung, dem technischen Support und der Betrugsprävention helfen.
Die Drittanbieter Taboola, Zoominfo und ActiveProspect verteidigten ihre Datenerfassungspraktiken. Facebook gehört zu den beteiligten Drittanbietern. Den Forschern zufolge wurden E-Mail-Adressen oder deren Hashes entdeckt, die von 21 verschiedenen Websites in der EU an facebook.com gesendet wurden.
Bei 17 dieser Websites war die Funktion "Automatic Advanced Matching" des Facebook-Pixels dafür verantwortlich, dass der SHA-256 der E-Mail-Adresse in einem SubscribedButtonClick-Ereignis gesendet wurde, obwohl keine Schaltfläche "Submit" angeklickt wurde", heißt es in dem Bericht.
DL2MCD