Studie: Wenn Daten schon vor dem Senden weitergegeben werden

Noch bevor Nutzer ein Formular auf mancher Webseite abgeschickt haben, landen E-Mail-Adresse oder Passwort bei Trackingdiensten.

Artikel veröffentlicht am ,
Trackingdienste wissen, was eingetippt wird.
Trackingdienste wissen, was eingetippt wird. (Bild: Thomas Lefebvre/Unsplash)

Formulare sind im Web allgegenwärtig. Doch bevor die Nutzer auf Senden geklickt haben, werden die Eingaben in einigen Fällen bereits mit Trackingdiensten von Drittanbietern geteilt. Das hat eine Studie der Universitäten Leuven (Belgien), Radboud (Niederlande) und Lausanne (Schweiz) herausgefunden.

Stellenmarkt
  1. IT-Produktverantwortliche/IT- -Produktverantwortlicher (m/w/d) Referat Projekt- und Portfoliomanagement
    GKV-Spitzenverband, Berlin
  2. Softwareentwickler Java (m/w/d)
    Techniker Krankenkasse, Hamburg
Detailsuche

Untersucht wurden die 100.000 beliebtesten Webseiten. In drei Prozent der Fälle wurden die Daten bereits vor einem Klick auf den Sendebutton mit anderen Dienste geteilt. Zuerst berichtete das Onlinemagazin Bleepingcomputer.

Demnach verwenden etliche von den Webseitenbetreibern integrierte Trackingdienste Skripte, die in einem Formular Tastenanschläge registrieren und den Inhalt speichern beziehungsweise übermitteln. Dabei werden auch persönliche Daten wie E-Mail-Adressen, Nutzernamen, Passwörter oder sogar Nachrichten, die die Nutzer verschicken wollten oder verschickt haben, an die Trackingdienste übermittelt. Die Nutzer dürften jedoch üblicherweise davon ausgehen, dass die Daten erst nach einem Klick auf den Senden-Button und nicht an Dritte übermittelt werden.

Ihre Ergebnisse veröffentlichten die Forscher sowohl auf einer Webseite als auch in einem Paper. Demnach leiteten unter anderem Shopify.com, Facebook.com, Gravatar.com, Bose.com, Bmw.de und Trello.com die E-Mail-Adresse ihre Nutzer an Trackingdienste weiter - noch bevor die Nutzer auf Senden geklickt hatten oder mittels eines Cookiebanners etwaigem Tracking zugestimmt hatten. Teils wurden die E-Mail-Adressen zuvor gehasht, teils wurden sie wie beispielsweise bei Gearbest.com im Klartext übertragen.

Verstöße gegen die DSGVO

Golem Karrierewelt
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    27./28.07.2022, virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Insgesamt fanden die Forscher 1.844 Webseiten, die bei einem Aufruf mit einer IP-Adresse aus der EU E-Mail-Adressen vor dem Absenden eines Formulars an Trackingdienste weitergaben. Laut der Studie verstößt die E-Mail-Exfiltration durch Drittanbieter gegen mindestens drei Anforderungen der Datenschutzgrundverordnung (DSGVO): das Transparenzprinzip, das Zweckbindungsprinzip und das Vorhandensein einer Einwilligung.

Wurden die Webseiten mit einer IP-Adresse aus den USA aufgerufen - also außerhalb des Geltungsbereichs der DSGVO - stieg die Anzahl der Seiten auf 2.950, darunter beispielsweise Theverge.com und Businessinsider.com. Der Trackingdienst von Yandex soll auf etlichen Webseiten zudem Passwörter im Klartext gesammelt haben - bei Webseitenbesuchen aus den USA, aber auch aus Europa. Zu den häufig entdeckten Trackingdiensten, an welche die Daten übermittelt wurden, zählten unter anderem Liveramp, Taboola und Adobes Bizible.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Exchange Server von gut versteckter Hintertür betroffen

Sicherheitsforscher haben eine Backdoor gefunden, die zuvor gehackte Exchange-Server seit 15 Monaten zugänglich hält.

Microsoft: Exchange Server von gut versteckter Hintertür betroffen
Artikel
  1. Wochenrückblick: Solide Leistung
    Wochenrückblick
    Solide Leistung

    Golem.de-Wochenrückblick Der M2-Chip im Test und Neues von Sony und VW: die Woche im Video.

  2. US-Streaming: Immer mehr Netflix-Abonnenten kündigen nach einem Monat
    US-Streaming
    Immer mehr Netflix-Abonnenten kündigen nach einem Monat

    Netflix hat zunehmend Probleme, neue Abonnenten zu halten. Der Anteil an Neukunden, die nach einem Monat wieder kündigen, steigt.

  3. Ayn Loki Zero: Dieses PC-Handheld kostet nur 200 US-Dollar
    Ayn Loki Zero
    Dieses PC-Handheld kostet nur 200 US-Dollar

    Es ist das bisher günstigste Modell in einer Reihe von vielen: Der Loki Zero mit 6-Zoll-Display nutzt einen Athlon-Prozessor mit Vega-Grafik.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. G.Skill Trident Z Neo 32 GB DDR4-3600 149€ und Patriot P300 512 GB M.2 39€) • Alternate (u. a. Acer Nitro XZ270UP QHD/165 Hz 246,89€ und Acer Predator X28 UHD/155 Hz 1.105,99€) • Samsung GU75AU7179 699€ • Kingston A400 480 GB 39,99€ • Alterrnate Weekend Sale [Werbung]
    •  /