Ich habe deine Daten gefunden. Es steht zum Verkauf.

Unternehmen, die Chrome- und Firefox-Erweiterungen verwenden, um Ihre Browserdaten zu sammeln, gefährden Ihre Privatsphäre. Geoffrey A. Fowler von der Washington Post erklärt. (William Neff, Jonathan Baran, Geoffrey A. Fowler/The Washington Post)

Ich habe gesehen, wie Sie für einen Flug eingecheckt haben und wie Ihr Arzt ein Rezept nachfüllte.

Ich habe mir Berichte über fehlerhafte Raketen in Unternehmensnetzwerken angeschaut. Wenn ich wollte, hätte ich sogar eine Steuererklärung erstellen können, die Sie nur mit Ihrem Buchhalter geteilt haben.

Helpdesk: Technologieabdeckung, die Technik für Sie arbeiten lässtPfeilRechts

Ich habe Ihre Daten gefunden, weil sie online zum Verkauf stehen. Noch erschreckender: Es passiert aufgrund von Software, die Sie wahrscheinlich selbst installiert haben.

Meine neueste Untersuchung zum geheimen Leben unserer Daten ist keine Feuerübung. Arbeiten mit einem unabhängiger Sicherheitsforscher , stellte ich fest, dass bis zu 4 Millionen Menschen persönliche und Unternehmensgeheimnisse über Chrome und Firefox preisgegeben haben. Sogar ein Kollege in der Nachrichtenredaktion der Washington Post wurde erwischt. Als wir den Browserherstellern Google und Mozilla davon erzählten, haben sie diese Lecks sofort geschlossen – aber wir haben wahrscheinlich nur einen Bruchteil des Problems identifiziert.

Die Wurzel dieses Datenschutz-Zugwracks sind Browser-Erweiterungen. Auch als Add-Ons und Plug-Ins bekannt, handelt es sich um kleine Programme, die von fast der Hälfte aller Desktop-Websurfer verwendet werden, um das Surfen zu verbessern, z. B. um Coupons zu finden oder sich Passwörter zu merken. Die Leute installieren sie unter der Annahme, dass jede Software, die in einem Geschäft von angeboten wird, installiert wird Chrom oder Feuerfuchs muss echt sein.



Die Werbegeschichte wird unter der Werbung fortgesetzt

Nicht. Bei. Alle. Einige Erweiterungen haben eine Nebenbeschäftigung bei der Spionage. Von einem privilegierten Platz in Ihrem Browser aus geben sie Informationen darüber, wo Sie surfen und was Sie sehen, an eine düstere Datenwirtschaft weiter. Denken Sie an alles, was Sie in Ihrem Browser bei der Arbeit und zu Hause tun – es ist ein digitaler Proxy für Ihr Gehirn. Stellen Sie sich nun vor, diese Klicks, die aus Ihrem Computer strahlen, um für Vermarkter, Datenbroker oder Hacker geerntet zu werden.

Helpdesk: Stellen Sie unserem technischen Kolumnisten eine Frage

Einige Erweiterungen lassen die Überwachung nach einem süßen Deal klingen: Diese Woche bot Amazon den Leuten 10 US-Dollar für die Installation an Assistant-Erweiterung . Im Kleingedruckten sagte Amazon, dass die Erweiterung sammelt Ihren Browserverlauf und was sich auf den Seiten befindet, die Sie anzeigen , obwohl alle diese Daten innerhalb des riesigen Unternehmens bleiben. (Amazon CEO Jeff Bezos besitzt The Washington Post.) Akademische Forscher sagen, dass es Tausende von Erweiterungen gibt, die Browserdaten sammeln – viele mit losen oder geradezu betrügerischen Datenpraktiken – die in den Online-Shops von Google und sogar dem datenschutzfreundlicheren Mozilla lauern.

Die Erweiterungen, die wir beim Verkauf Ihrer Daten gefunden haben, zeigen, wie gefährlich die Überwachung von Browsern sein kann. Das Ungewöhnliche an diesem Leck ist, dass wir zusehen müssen, wie es stattfindet. Dies ist kein theoretisches Datenschutzproblem: So wurden die Daten von Millionen von Menschen erfasst und verkauft – und die fehlgeschlagenen Sicherheitsvorkehrungen der Browserhersteller, die dies ermöglichten.

Die Werbegeschichte wird unter der Werbung fortgesetzt

Ein „katastrophales“ Leck

Das Ausmaß des Erweiterungsproblems wurde mir erst bewusst, als ich von Sam Jadali hörte. Er betreibt eine Website Hosting-Geschäft , und Anfang des Jahres fand er einige seiner Kundendaten online zum Verkauf. Herauszufinden, wie das passiert ist, wurde zu einer sechsmonatigen Besessenheit.

Jadali fand die Daten auf einer Website namens Nacho Analytics. Als kleiner Player in der Datenwirtschaft bezeichnet sich Nacho auf seiner Website als Marketing Intelligence Service. Es bietet Daten darüber, was auf fast jeder Website angeklickt wird – einschließlich tatsächlicher Webadressen – für nur 49 US-Dollar pro Monat.

Auf Wiedersehen, Chrome: Googles Webbrowser ist zur Spionagesoftware geworden

Diese Daten, behauptet Nacho, stammen von Personen, die sich dafür entscheiden, verfolgt zu werden, und es werden personenbezogene Daten entfernt.

Die Geschichte geht unter der Werbung weiter

Je genauer Jadali Nacho ansah, desto mehr fand er heraus, dass das weit über Marketingdaten hinausging. Webadressen – alles, was Sie nach den Buchstaben „http“ sehen – Seitentitel und andere Browsing-Datensätze scheinen nicht viel zu enthüllen. Aber manchmal enthalten sie geheime Seiten, die vergessen, sich zu verstecken.

Werbung

Jadali fand Benutzernamen, Passwörter und GPS-Koordinaten, obwohl Nacho sagte, dass es persönliche Informationen aus seinen Daten entfernt. „Mir wurde klar, dass dies ein Leck katastrophalen Ausmaßes war“, erzählte mir Jadali.

Was er mir zeigte, ließ mir die Kinnlade herunterfallen. Drei Beispiele:

  • Von DrChrono, einem Dienst für medizinische Aufzeichnungen, sahen wir die Namen von Patienten, Ärzten und sogar Medikamenten. Von einem anderen Dienst namens Kareo sahen wir Patientennamen.
  • Aus dem Südwesten sahen wir die Vor- und Nachnamen sowie die Bestätigungsnummern von Personen, die in Flüge eincheckten. Von United sahen wir Nachnamen und Passagierrekordnummern.
  • Von OneDrive, dem Cloud-Speicherdienst von Microsoft, haben wir hundert Dokumente mit dem Namen „Steuer“ gesehen. Wir haben keinen dieser Links angeklickt, um eine weitere Offenlegung sensibler Daten zu vermeiden.

Es waren nicht nur persönliche Geheimnisse. Mitarbeiter von mehr als 50 großen Unternehmen enthüllten in den Titeln von Memos und Projektberichten, woran sie arbeiteten (einschließlich streng geheimer Dinge). Es gab sogar Informationen über interne Unternehmensnetzwerke und Firewall-Codes. Dies dürfte IT-Sicherheitsabteilungen sehr nervös machen.

Die Geschichte geht unter der Werbung weiter

Jadali dokumentierte seine Erkenntnisse in a Bericht mit dem Titel „DataSpii“, und hat die letzten zwei Wochen damit verbracht, die Lecks den von ihm identifizierten Unternehmen offenzulegen – von denen viele seiner Meinung nach bessere Arbeit leisten könnten, um Geheimnisse aus gefährdeten Browserdaten zu bewahren. Ich habe auch alle Firmen kontaktiert, die ich in dieser Rubrik nenne. Kareo und Southwest haben mir mitgeteilt, dass sie Namen aus den Seitendaten entfernen.

Sie haben FaceApp heruntergeladen. Hier ist, was Sie gerade mit Ihrer Privatsphäre gemacht haben.

Ich fragte mich, ob Jadali irgendwelche Daten aus der Washington Post finden könnte. Kurz nachdem ich gefragt hatte, fragte mich Jadali, ob ich einen Kollegen namens Nick Mourtoupalas hätte. Auf Nacho konnte Jadali sehen, wie er auf unseren internen Websites klickte. Mourtoupalas hatte sich gerade eine Seite über die Sommerpraktikanten angesehen. Über Monate hatte er wahrscheinlich viel, viel mehr durchgesickert.

Werbung

Ich rief Mourtoupalas an, einen Redaktionsassistenten in der Redaktion. Verzeihen Sie die Unterbrechung, sagte ich, aber Ihr Browser ist undicht.

„Oh, wow, oh, wow“, sagte Mourtoupalas. Er hatte sich noch nie für die Verfolgung seines Web-Browsings entschieden. 'Was habe ich falsch gemacht?'

Folgen Sie den Daten

Ich fragte Mourtoupalas, ob er Chrome jemals etwas hinzugefügt hätte. Er zog sein Erweiterungs-Dashboard auf und stellte fest, dass er 17 davon installiert hatte. 'Ich habe nichts Verrücktes oder Zwielichtiges heruntergeladen', sagte er.

Die Geschichte geht unter der Werbung weiter

Einer davon hieß Hover Zoom. Es vermarktet sich im Chrome Web Store und seiner Website, um Fotos zu vergrößern, wenn Sie mit der Maus darüber fahren. Mourtupalas erinnerte sich daran, auf Reddit davon erfahren zu haben. Anfang des Jahres hatte es 800.000 Nutzer.

Wenn Sie Hover Zoom installieren, wird eine Meldung angezeigt, dass es 'Ihren Browserverlauf lesen und ändern' kann. Es gibt kaum Anzeichen dafür, dass Hover Zoom diese Daten verkauft.

Ich habe versucht, alle Kontakte zu erreichen, die ich für die Macher von Hover Zoom finden konnte. Eine Person, Romain Vallet, sagte mir, er sei seit mehreren Jahren nicht mehr der Besitzer, lehnte es jedoch ab, zu sagen, wer es jetzt war. Niemand sonst antwortete.

Werbung

Jadali testete die Verbindungen zwischen Erweiterungen und Nacho, indem er selbst einen Haufen installierte und beobachtete, ob seine Daten zum Verkauf angeboten wurden. Einige davon haben wir zusammen gemacht, mit mir als willigem Opfer. Nachdem ich eine Erweiterung namens PanelMeasurement installiert hatte, zeigte mir Jadali, wie er auf private iPhone- und Facebook-Fotos zugreifen konnte, die ich in Chrome geöffnet hatte, sowie auf ein OneDrive-Dokument, das ich 'Geoffs privates Dokument' genannt hatte. (Um letzteres zu finden, musste er nur die Seitentitel auf Nacho nach „Geoff“ durchsuchen.)

Die Geschichte geht unter der Werbung weiter

Insgesamt identifizierten Jadalis Recherchen sechs verdächtige Chrome- und Firefox-Erweiterungen mit mehr als wenigen Benutzern: Hover Zoom, SpeakIt!, SuperZoom, SaveFrom.net Helper, FairShare Unlock und PanelMeasurement.

Sie alle geben entweder in ihren Nutzungsbedingungen, Datenschutzrichtlinien oder Beschreibungen an, dass sie Daten sammeln dürfen. Aber nur zwei davon – FairShare Unlock und PanelMeasurement – ​​weisen den Benutzern ausdrücklich darauf hin, dass sie Daten zur Browseraktivität sammeln und versprechen, Menschen für das Surfen im Internet zu belohnen.

Werbung

„Wenn ich auf diese Erweiterung hereingefallen bin, weiß ich, dass Hunderttausende andere Leute leicht auch haben“, sagte mir Mourtoupalas. Er hat jetzt alle bis auf drei Nebenstellen deaktiviert, jede von einem bekannten Unternehmen.

Die Geschichte geht unter der Werbung weiter
Name der gesperrten Erweiterung Anzahl der Nutzer Browser
Hover-Zoom 800.000 Chrom
Sag es! 1,4+ Millionen Chrom
SuperZoom 329.000 Chrome und Firefox
SaveFrom.net Helper Ich 140.000 Feuerfuchs
FairShare-Freischaltung 1+ Millionen Chrome und Firefox
PanelMessung 500.000 Chrom
Quelle: Sam Jadali
IchDas Datensammelverhalten trat nur in einer Version des SaveFrom.net Helper auf, die von der Website des Autors installiert wurde

Die Spitze des Eisbergs

Nachdem wir den Browserherstellern die Lecks offengelegt hatten, deaktivierte Google sieben Erweiterungen aus der Ferne, und Mozilla tat dasselbe mit zwei anderen (zusätzlich zu einer, die im Februar deaktiviert wurde). Zusammen hatten sie mehr als 4 Millionen Nutzer gezählt. Wenn Sie eine davon installiert hatten, sollten sie nicht mehr funktionieren.

Eine Firma namens DDMR, die FairShare Unlock und PanelMeasurement durchgeführt hat, sagte mir, das Verbot sei unfair, weil es die Zustimmung des Benutzers eingeholt habe. (Es lehnte ab, zu sagen, wer seine Kunden waren, sagte jedoch, dass seine Bedingungen den Kunden den Verkauf vertraulicher Informationen untersagten.) Keiner der anderen Erweiterungshersteller beantwortete meine Fragen, warum sie Browserdaten sammelten.

Einige Tage nach dem Shutdown veröffentlichte Nacho auf seiner Website einen Hinweis, dass es einen „dauerhaften“ Datenausfall gegeben habe und keine neuen Kunden mehr aufnehmen oder neue Daten für bestehende Kunden bereitstellen werde.

Die Werbegeschichte wird unter der Werbung fortgesetzt

Aber das bedeutet nicht, dass dieses Problem vorbei ist.

Forscher der North Carolina State University kürzlich getestet wie viele der 180.000 verfügbaren Chrome-Erweiterungen datenschutzrelevante Daten verlieren. Sie 3.800 solcher Erweiterungen gefunden – und allein die 10 beliebtesten haben mehr als 60 Millionen Nutzer.

„Nicht alle dieser Unternehmen sind böswillig oder tun dies absichtlich, aber sie haben die Möglichkeit, Ihre Daten zu verkaufen, wenn sie möchten“, sagte Alexandros Kapravelos, ein Informatikprofessor, der an der Studie mitgearbeitet hat.

Erweiterungshersteller kassieren manchmal durch den Verkauf an Unternehmen, die ihre beliebten Erweiterungen in Datenhoovers umwandeln . Die 382 Erweiterungen, die Kapravelos im Datenverkaufsgeschäft vermutet, haben knapp 8 Millionen Nutzer. „Es gibt keine Vorschriften, die sie daran hindern“, sagte er.

Alexa hat dich die ganze Zeit belauscht

Warum stoppen Google und Mozilla es also nicht? Forscher waren Jahrelang schändliche Erweiterungen ausrufen, und die Unternehmen sagen, dass sie überprüfen, was in ihren Geschäften ist. „Wir möchten, dass Chrome-Erweiterungen sicher sind und die Privatsphäre schützen, und das Erkennen von Richtlinienverstößen ist für diese Bemühungen unerlässlich“, sagte Margret Schmidt, Senior Director von Google.

Werbung

Aber offensichtlich ist es nicht ausreichend. Jadali fand heraus, dass bei zwei Verlängerungen drei bis fünf Wochen gewartet wurde, bevor Daten preisgegeben wurden, und er vermutet, dass sie sich möglicherweise verzögert haben, um eine Entdeckung zu vermeiden. Google vor kurzem angekündigt es würde neben anderen technischen Änderungen Erweiterungen erfordern, um die Daten, auf die sie zugreifen, zu minimieren. Mozilla sagte, sein Fokus lag in letzter Zeit auch auf der Begrenzung des Schadens, den Add-Ons anrichten können.

Ein ebenso großes Problem ist eine Datenindustrie, die unbeholfener geworden ist, unser Leben in ihren Rohstoff zu verwandeln.

In einem Interview wollte Mike Roberts, CEO von Nacho, nicht sagen, woher er seine Daten bezieht. Aber Jadali, sagte er, habe Nachos Nutzungsbedingungen verletzt, indem er sich persönliche Informationen angesehen habe. „Kein tatsächlicher Kunde von Nacho Analytics hat sich dieses Zeug angesehen. Die einzigen Leute, die private Informationen gesehen haben, waren Sie“, sagte Roberts.

Ich bin mir nicht sicher, wie er das wissen konnte. Es gab so viele Geheimnisse auf Nacho, dass es unmöglich ist, herauszufinden, wie sie verwendet wurden.

Es ist mitten in der Nacht. Wissen Sie, mit wem Ihr iPhone spricht?

Seine Verteidigung von Nacho lief darauf hinaus: So funktioniert das Internet einfach.

Roberts sagte, er glaube, dass die Leute, die Nacho Daten beisteuerten – einschließlich meines Kollegen – „informiert“ waren. Er fügte hinzu: „Ich denke, es würde mich nicht überraschen, wenn einige Leute nicht wissen, was jedes Tool oder jede Website mit ihren Daten macht.“

Nacho unterscheidet sich nicht so sehr von anderen in seiner Branche. „Der Unterschied besteht darin, dass ich die Wettbewerbsbedingungen ausgleichen und die gleiche Macht in die Hände von Vermarktern und Unternehmern legen wollte – und das hat viel mehr Transparenz geschaffen“, sagte er. „In gewisser Weise kann diese Transparenz so sein, als würde man in einen schwarzen Spiegel schauen.“

Er liegt nicht ganz falsch. Große Teile der Technologiebranche betrachten Tracking als eine akzeptable Möglichkeit, Geld zu verdienen, unabhängig davon, ob die meisten von uns erkennen, was wirklich vor sich geht. Amazon schenkt Ihnen dafür einen 10-Euro-Gutschein. Google verfolgt Ihre Suchanfragen und sogar Ihre Aktivitäten in Chrome, um ein lukratives Dossier über Sie zu erstellen. Facebook macht dasselbe mit Ihren Aktivitäten in seinen Apps und deaktiviert.

Natürlich lassen diese Unternehmen Ihre persönlichen Daten normalerweise nicht zum Verkauf im offenen Internet hängen. Aber nur weil es versteckt ist, ist es nicht weniger beängstigend.

Lesen Sie mehr technische Ratschläge und Analysen von Geoffrey A. Fowler:

Die, Robocalls, die: Eine Anleitung, um Spammer zu stoppen und sich zu rächen

Nicht alle iPhones sind gleich. Diese kosten weniger und sind besser für die Erde.

So rocken: AirPods, Beats und Bose Wireless Earbuds bestehen den Headbang-Test

Kommentar Kommentare GiftOutline Geschenkartikel Loading...