Abo
  • Services:
Anzeige
Die Browser-Erweiterung WOT gibt den Webverlauf von Nutzern ungekürzt an Big-Data-Analysten weiter.
Die Browser-Erweiterung WOT gibt den Webverlauf von Nutzern ungekürzt an Big-Data-Analysten weiter. (Bild: www.mywot.com/Screenshot: Golem.de)

Browser-Addons: Browserverläufe von Millionen deutschen Nutzern verkauft

Die Browser-Erweiterung WOT gibt den Webverlauf von Nutzern ungekürzt an Big-Data-Analysten weiter.
Die Browser-Erweiterung WOT gibt den Webverlauf von Nutzern ungekürzt an Big-Data-Analysten weiter. (Bild: www.mywot.com/Screenshot: Golem.de)

Der Browserverlauf von deutschen Nutzern wird offenbar von Addon-Anbietern vermarktet. Die Daten hätten sich leicht deanonymisieren lassen, berichtet das ARD-Magazin Panorama. Die Erweiterung Web of Trust wurde mit einem simplen Trick überführt.

Anbieter von Browser-Addons verkaufen offenbar die getrackten Nutzerdaten in großem Stil an Big-Data-Analysten. Das berichtete das ARD-Magazin Panorama auf Basis einer verdeckten Recherche. Demnach konnte das Magazin Zugang zu einem Datensatz erlangen, der jede Bewegung von etwa drei Millionen deutschen Internet-Nutzern im vergangenen August enthielt. Aufgrund der aufgezeichneten Webadressen sei es sehr leicht gewesen, die Daten konkreten Personen zuzuordnen. In dem Datensatz fänden sich neben privaten Nutzern auch Personen des öffentlichen Lebens: Manager, Polizisten, Richter und Journalisten.

Anzeige

Der Datensatz umfasse mehr als zehn Milliarden Webadressen. Die URLs seien dabei jeweils einer Nutzer-ID zugeordnet gewesen, sagte Redakteur Jochen Becker auf Anfrage von Golem.de. Die konkreten Personen hinter den IDs lassen sich dabei auf verschiedene Weise identifizieren. Wer seine Browser-History durchforstet, findet etliche Seiten, die die Nutzer-ID in Form der E-Mail-Adresse in der URL enthalten, beispielsweise Paypal. Auch bei Skype wird der Nutzername verwendet. Beim Online-Check-in eines Airberlin-Fluges ist der Nachname ebenfalls in der URL zu sehen. Die komplette Buchung einschließlich des vollen Passagiernamens lässt sich über die URL noch ein halbes Jahr nach dem Flug aufrufen.

URLs führen zu Dokumenten in der Cloud

Laut Panorama geben die deanoymisierten Web-Verläufe intime Geheimnisse aus dem Berufs- und Privatleben preis: Informationen zu laufenden Polizei-Ermittlungen, die Sadomaso-Vorlieben eines Richters, interne Umsatzzahlen eines Medien-Unternehmens und Web-Recherchen zu Krankheiten, Prostituierten und Drogen. Kriminelle könnten mit Hilfe dieser Unterlagen die Identität des Mannes kapern oder ihn mit den Details zu seinem Surf-Verhalten erpressen.

Besonders gefährlich ist es demnach, wenn Nutzer Dokumente ohne Passwortschutz in Clouddienste hochladen. So habe ein Hamburger Manager auf diese Weise Unterlagen zu einem Hausbau abgelegt. Jeder, der diese Adressen kenne, könne darüber Kontoauszüge, Architektenzeichnungen, Lohnabrechnungen mit Hinweisen auf das Bonus-System des Arbeitgebers, eine Kopie des Personalausweises und detaillierte Auszüge aus den Unterlagen zu einem Bankkredit abrufen.

Rohdaten als Kostprobe

Große Datenhandelsfirmen böten auf Basis solcher Daten Analysen zu Nutzerverhalten an, erläuterte Becker. Um an die Informationen zu gelangen, gründeten die NDR-Reporter eine Scheinfirma, die vorgab, im Big-Data-Geschäft aktiv zu sein. Gleich mehrere Firmen hätten sich bereit erklärt, die Webdaten deutscher Internetnutzer zu verkaufen. Ein Unternehmen habe die nun ausgewerteten Daten schließlich als kostenlose Probe angeboten. Normalerweise würden die Kunden allerdings nicht die Rohdaten sehen.

Nach Angaben Beckers stammten die Daten aus mehreren Addons. Die Redaktion habe teilweise sogar einen Live-Zugriff auf die Daten gehabt und das Surfverhalten von Nutzern in Echtzeit verfolgen können. Panorama nannte jedoch nicht die Namen von Erweiterungen, die die Nutzerdaten auf diese Weise verkaufen. Zu den beliebtesten Firefox-Addons gehören Adblock Plus, Video Downloadhelper, Easy Screenshot, Noscript, Firebug, Ublock, Ghostery und Downthemall. Juristisch sei eine solche Datenweitergabe heikel. In Deutschland dürfen personalisierte Daten ohne Zustimmung nicht erhoben und gespeichert werden. Zwar weisen Unternehmen in ihren Nutzungsbedingungen zum Teil darauf hin, dass sie die Informationen sammeln. Nach deutschem Recht genüge das aber nicht.

Die Software-Entwickler agieren laut Panorama oft aus dem Ausland, vermittelt würden die Erweiterungen zum Beispiel über Server in den USA. Häufig vertrieben Zwischenhändler dann die großen Datenpakete. Viele kämen aus Israel, einige bedienten sich auch bei Briefkastenfirmen in notorisch intransparenten Ländern wie Panama oder den Britischen Jungferninseln. Ein Betroffener, der sich in Deutschland juristisch gegen den Verkauf seiner Daten zur Wehr setzen möchte, habe in solch einer Konstellation wenig Aussicht auf Erfolg.

Nachtrag vom 1. November 2016, 23:29 Uhr

Zu den betroffenen Addons soll unter anderem Web of Trust (WOT) gehören. WOT bietet demnach einen Service an, der dem Nutzer dabei helfen soll, sicher zu surfen: Die Erweiterung prüft die Integrität von Webseiten, bewertet besuchte Seiten anhand eines Ampel-Systems im Hinblick auf Sicherheit. Die Software wurde nach Angaben des finnischen Herstellers mehr als 140 Millionen mal heruntergeladen und installiert.

Im Hintergrund protokolliert und übermittelt die Erweiterung laut Panorama aber auch die Daten zum Surfverhalten des Nutzers an einen Server im Ausland. Dort werde ein Profil erstellt, bei dem Datum, Uhrzeit, Ort und angesteuerte Web-Adresse gemeinsam mit einer Nutzer-Kennung abgespeichert würden. Diese Daten gingen dann an Zwischenhändler. Von einem dieser Zwischenhändler haben Panorama und das Medienmagazin ZAPP ihren Datensatz bezogen.

Nachtrag vom 2. November 2016, 9:30 Uhr

In einem Blogbeitrag hat der Sicherheitsexperte Mike Kuketz beschrieben, wie Web of Trust "überführt" wurde: "Ich erstellte eine neue Subdomain (what.kuketz.de), die bisher weder existierte, noch jemand kannte. Im Anschluss setzte ich eine neue Linux Virtual Machine auf, startete Firefox und installierte mir als einziges Addon WOT. Nach knapp einer Woche tauchte mein Browser bzw. meine besuchten URLs dann schließlich in den Datensätzen des NDR auf - Jackpot!"


eye home zur Startseite
Exa_Byte 03. Nov 2016

Wie wärs mit "Ublock Origin" ? Steckt keine Firma hinter ^^ https://github.com/gorhill...

crash 03. Nov 2016

Es ist schon sehr bedenklich, dass in vielen URLs E-Mails etc. auftauchen. Das gilt es in...

LewxX 03. Nov 2016

Naja teilweise, ich würde schätzen das chrome/ FF nur etwas 10-20% von dem abdeckt was...

avsm 03. Nov 2016

Ne, einfacher wäre eine Firewall und alles sperren was nicht zum eigenen Verhalten...

avsm 03. Nov 2016

Ja, es wird immer wieder gesagt, es ist das klügste den Browser zu nutzen, der am...



Anzeige

Stellenmarkt
  1. GIGATRONIK Stuttgart GmbH, Stuttgart
  2. IT4IPM GmbH, Berlin
  3. über JobLeads GmbH, Stuttgart
  4. IAV GmbH - Ingenieurgesellschaft Auto und Verkehr, Sindelfingen


Anzeige
Top-Angebote
  1. 19,99€ (nur für Prime-Mitglieder)
  2. (alle Angebote versandkostenfrei, u. a. Xbox 360 Controller für Windows USB 19,99€, Samsung...
  3. (alle Angebote versandkostenfrei, u. a. MSI WS60-6QJE316H11 Workstation mit 15.6"-UHD-Display, E3...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. UHS-III

    Neuer (Micro-)SD-Karten-Standard schafft über 600 MByte/s

  2. Watch 2 im Hands on

    Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten

  3. LG G6 im Hands on

    Schlankes Smartphone hat zwei Kameralinsen

  4. P10 und P10 Plus im Hands on

    Huaweis neues P10 kostet 600 Euro

  5. Mobilfunk

    Nokia bringt Vorstandard 5G-Netzwerkausrüstung

  6. Blackberry Key One im Hands on

    Android-Smartphone mit toller Hardware-Tastatur

  7. Deutschland

    Smartphone-Aufnahmen in Wahlkabinen werden verboten

  8. Stewart International Airport

    New Yorker Flughafen wohl ein Jahr schutzlos am Netz

  9. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  10. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

  1. Re: Wie löst man das Problem?

    Lemo | 18:01

  2. Re: An alle die den Grund für das Verbot nicht...

    Tremolino | 17:54

  3. Re: Rückseitiger Sensor

    HerrHerger | 17:53

  4. Re: Schlankes Smartphone? Wie bitte?

    p4 | 17:46

  5. Re: Wie siehts mit root aus bei Blackberry?

    demon driver | 17:41


  1. 18:10

  2. 17:48

  3. 15:49

  4. 14:30

  5. 13:59

  6. 12:37

  7. 12:17

  8. 10:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel