Abo
  • Services:
Anzeige
Die Browser-Erweiterung WOT gibt den Webverlauf von Nutzern ungekürzt an Big-Data-Analysten weiter.
Die Browser-Erweiterung WOT gibt den Webverlauf von Nutzern ungekürzt an Big-Data-Analysten weiter. (Bild: www.mywot.com/Screenshot: Golem.de)

Browser-Addons: Browserverläufe von Millionen deutschen Nutzern verkauft

Die Browser-Erweiterung WOT gibt den Webverlauf von Nutzern ungekürzt an Big-Data-Analysten weiter.
Die Browser-Erweiterung WOT gibt den Webverlauf von Nutzern ungekürzt an Big-Data-Analysten weiter. (Bild: www.mywot.com/Screenshot: Golem.de)

Der Browserverlauf von deutschen Nutzern wird offenbar von Addon-Anbietern vermarktet. Die Daten hätten sich leicht deanonymisieren lassen, berichtet das ARD-Magazin Panorama. Die Erweiterung Web of Trust wurde mit einem simplen Trick überführt.

Anbieter von Browser-Addons verkaufen offenbar die getrackten Nutzerdaten in großem Stil an Big-Data-Analysten. Das berichtete das ARD-Magazin Panorama auf Basis einer verdeckten Recherche. Demnach konnte das Magazin Zugang zu einem Datensatz erlangen, der jede Bewegung von etwa drei Millionen deutschen Internet-Nutzern im vergangenen August enthielt. Aufgrund der aufgezeichneten Webadressen sei es sehr leicht gewesen, die Daten konkreten Personen zuzuordnen. In dem Datensatz fänden sich neben privaten Nutzern auch Personen des öffentlichen Lebens: Manager, Polizisten, Richter und Journalisten.

Anzeige

Der Datensatz umfasse mehr als zehn Milliarden Webadressen. Die URLs seien dabei jeweils einer Nutzer-ID zugeordnet gewesen, sagte Redakteur Jochen Becker auf Anfrage von Golem.de. Die konkreten Personen hinter den IDs lassen sich dabei auf verschiedene Weise identifizieren. Wer seine Browser-History durchforstet, findet etliche Seiten, die die Nutzer-ID in Form der E-Mail-Adresse in der URL enthalten, beispielsweise Paypal. Auch bei Skype wird der Nutzername verwendet. Beim Online-Check-in eines Airberlin-Fluges ist der Nachname ebenfalls in der URL zu sehen. Die komplette Buchung einschließlich des vollen Passagiernamens lässt sich über die URL noch ein halbes Jahr nach dem Flug aufrufen.

URLs führen zu Dokumenten in der Cloud

Laut Panorama geben die deanoymisierten Web-Verläufe intime Geheimnisse aus dem Berufs- und Privatleben preis: Informationen zu laufenden Polizei-Ermittlungen, die Sadomaso-Vorlieben eines Richters, interne Umsatzzahlen eines Medien-Unternehmens und Web-Recherchen zu Krankheiten, Prostituierten und Drogen. Kriminelle könnten mit Hilfe dieser Unterlagen die Identität des Mannes kapern oder ihn mit den Details zu seinem Surf-Verhalten erpressen.

Besonders gefährlich ist es demnach, wenn Nutzer Dokumente ohne Passwortschutz in Clouddienste hochladen. So habe ein Hamburger Manager auf diese Weise Unterlagen zu einem Hausbau abgelegt. Jeder, der diese Adressen kenne, könne darüber Kontoauszüge, Architektenzeichnungen, Lohnabrechnungen mit Hinweisen auf das Bonus-System des Arbeitgebers, eine Kopie des Personalausweises und detaillierte Auszüge aus den Unterlagen zu einem Bankkredit abrufen.

Rohdaten als Kostprobe

Große Datenhandelsfirmen böten auf Basis solcher Daten Analysen zu Nutzerverhalten an, erläuterte Becker. Um an die Informationen zu gelangen, gründeten die NDR-Reporter eine Scheinfirma, die vorgab, im Big-Data-Geschäft aktiv zu sein. Gleich mehrere Firmen hätten sich bereit erklärt, die Webdaten deutscher Internetnutzer zu verkaufen. Ein Unternehmen habe die nun ausgewerteten Daten schließlich als kostenlose Probe angeboten. Normalerweise würden die Kunden allerdings nicht die Rohdaten sehen.

Nach Angaben Beckers stammten die Daten aus mehreren Addons. Die Redaktion habe teilweise sogar einen Live-Zugriff auf die Daten gehabt und das Surfverhalten von Nutzern in Echtzeit verfolgen können. Panorama nannte jedoch nicht die Namen von Erweiterungen, die die Nutzerdaten auf diese Weise verkaufen. Zu den beliebtesten Firefox-Addons gehören Adblock Plus, Video Downloadhelper, Easy Screenshot, Noscript, Firebug, Ublock, Ghostery und Downthemall. Juristisch sei eine solche Datenweitergabe heikel. In Deutschland dürfen personalisierte Daten ohne Zustimmung nicht erhoben und gespeichert werden. Zwar weisen Unternehmen in ihren Nutzungsbedingungen zum Teil darauf hin, dass sie die Informationen sammeln. Nach deutschem Recht genüge das aber nicht.

Die Software-Entwickler agieren laut Panorama oft aus dem Ausland, vermittelt würden die Erweiterungen zum Beispiel über Server in den USA. Häufig vertrieben Zwischenhändler dann die großen Datenpakete. Viele kämen aus Israel, einige bedienten sich auch bei Briefkastenfirmen in notorisch intransparenten Ländern wie Panama oder den Britischen Jungferninseln. Ein Betroffener, der sich in Deutschland juristisch gegen den Verkauf seiner Daten zur Wehr setzen möchte, habe in solch einer Konstellation wenig Aussicht auf Erfolg.

Nachtrag vom 1. November 2016, 23:29 Uhr

Zu den betroffenen Addons soll unter anderem Web of Trust (WOT) gehören. WOT bietet demnach einen Service an, der dem Nutzer dabei helfen soll, sicher zu surfen: Die Erweiterung prüft die Integrität von Webseiten, bewertet besuchte Seiten anhand eines Ampel-Systems im Hinblick auf Sicherheit. Die Software wurde nach Angaben des finnischen Herstellers mehr als 140 Millionen mal heruntergeladen und installiert.

Im Hintergrund protokolliert und übermittelt die Erweiterung laut Panorama aber auch die Daten zum Surfverhalten des Nutzers an einen Server im Ausland. Dort werde ein Profil erstellt, bei dem Datum, Uhrzeit, Ort und angesteuerte Web-Adresse gemeinsam mit einer Nutzer-Kennung abgespeichert würden. Diese Daten gingen dann an Zwischenhändler. Von einem dieser Zwischenhändler haben Panorama und das Medienmagazin ZAPP ihren Datensatz bezogen.

Nachtrag vom 2. November 2016, 9:30 Uhr

In einem Blogbeitrag hat der Sicherheitsexperte Mike Kuketz beschrieben, wie Web of Trust "überführt" wurde: "Ich erstellte eine neue Subdomain (what.kuketz.de), die bisher weder existierte, noch jemand kannte. Im Anschluss setzte ich eine neue Linux Virtual Machine auf, startete Firefox und installierte mir als einziges Addon WOT. Nach knapp einer Woche tauchte mein Browser bzw. meine besuchten URLs dann schließlich in den Datensätzen des NDR auf - Jackpot!"


eye home zur Startseite
Annette Ulpins 12. Apr 2017

Ich habe zufällig in google eure Beiträge gefunden und mich gleich angemeldet. :-) Ob das...

Exa_Byte 03. Nov 2016

Wie wärs mit "Ublock Origin" ? Steckt keine Firma hinter ^^ https://github.com/gorhill...

crash 03. Nov 2016

Es ist schon sehr bedenklich, dass in vielen URLs E-Mails etc. auftauchen. Das gilt es in...

LewxX 03. Nov 2016

Naja teilweise, ich würde schätzen das chrome/ FF nur etwas 10-20% von dem abdeckt was...

avsm 03. Nov 2016

Ne, einfacher wäre eine Firewall und alles sperren was nicht zum eigenen Verhalten...



Anzeige

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. MBtech Group GmbH & Co. KGaA, Neutraubling, Regensburg
  3. operational services GmbH & Co. KG, Berlin, Dresden
  4. Rentschler Biotechnologie GmbH, Laupheim


Anzeige
Top-Angebote
  1. (u. a. Sony Alpha 6000 Bundle für 499€ und Lenovo C2 für 59€)
  2. 59,99€
  3. (heute u. a. mit Dremel-Artikeln, Roccat-Mäusen und Sony Alpha 6000 + Objektiv AF E 16-50 mm für...

Folgen Sie uns
       


  1. Elektroauto

    Elektrobus stellt neuen Reichweitenrekord auf

  2. Apple

    Xcode 9 bringt Entwicklertools für CoreML und Metal 2

  3. Messenger

    Wire-Server steht komplett unter Open-Source-Lizenz

  4. Smart Glass

    Amazon plant Alexa-Brille

  5. Google

    Das Pixelbook wird ein 1.200-Dollar-Chromebook

  6. Breko

    Bürger sollen 1.500 Euro Prämie für FTTH bekommen

  7. Google

    Neue Pixel-Smartphones und Daydream View geleakt

  8. Auftragsfertiger

    Intel zeigt 10-nm-Wafer und verliert Kunden

  9. Google Home Mini

    Google plant Echo-Dot-Konkurrenten mit Google Assistant

  10. Drei Modelle vorgestellt

    Elektrokleinwagen e.Go erhöht die Spannung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mini-Smartphone Jelly im Test: Winzig, gewöhnungsbedürftig, nutzbar
Mini-Smartphone Jelly im Test
Winzig, gewöhnungsbedürftig, nutzbar
  1. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor
  2. Leia RED verrät Details zum Holo-Display seines Smartphones
  3. Smartphones Absatz in Deutschland stagniert, Umsatz steigt leicht

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  2. Kreditrating Equifax' Krisenreaktion ist ein Desaster
  3. Best Buy US-Handelskette verbannt Kaspersky-Software aus Regalen

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

  1. Als ob Glasfaser untrennbar mit Tiefbau verbunden...

    Netzweltler | 11:31

  2. welcher dienst?

    foho | 11:30

  3. Re: Um was geht es konkret?

    egal | 11:30

  4. Re: Als Nicht-Smartphone-Besitzer

    HanSwurst101 | 11:28

  5. Warum diese tendenziösen Artikel?

    erzgebirgszorro | 11:28


  1. 11:32

  2. 11:17

  3. 11:02

  4. 10:47

  5. 10:32

  6. 10:18

  7. 09:55

  8. 08:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel