Hunderte Webseiten spähen Nutzerverhalten aus

Sensible Daten sind von der Aufzeichnung nicht immer ausgeschlossen

Obwohl die Analyse-Tools bemüht darum seien, zum Beispiel Passwörter aus der Sitzungsaufzeichnung auszuschliessen, konnte dies nicht vollständig verhindert werden. Zudem war es, wie bereits erwähnt nicht nötig, den "Submit-Button" anzuklicken. Die blosse Eingabe reichte bereits aus.
Ähnlich verhält es sich etwa beim Anlegen eines neuen Accounts. Je nach Webseite ist es teilweise erforderlich Kreditkarten-Informationen anzugeben. Etwa dann, wenn es sich um einen Online-Shop oder eine Webseite mit kostenpflichtigem Abo oder ähnliches handelt. Bei einigen Analyse-Tools wurde hierbei jeder einzelne Tastenanschlag aufgezeichnet und an den Drittanbieter übermittelt.

Betreiber müssten jedes einzelne Element aktiv überprüfen

Das Problem liegt laut den Experten darin, dass die Webseitenanbieter jedes einzelne Element ihres Onlineauftritts aktiv überprüfen und explizit aus der Sitzungsaufzeichnung ausschliessen müssen. Eine Automation hierfür gebe es nicht. Dieser Vorgang sei kompliziert, fehleranfällig und kostspielig. Zudem würden sich die Codes der Webseiten mit der Zeit immer wieder verändern.
Welche Daten schlussendlich vertraulich sind und nicht übermittelt werden sollen, ist nicht immer leicht abzugrenzen. Während Passwörter und Kreditkarten-Informationen sicherlich indiskutabel sind, wird es etwa bei der Suchanfrage schon schwieriger.
In der Untersuchung von free-to-tinker inbegriffen war etwa die Apothekenabteilung von Walgreens. Sucht nun ein Nutzer völlig harmlose Medikamente, ist eine entsprechende Aufzeichnung wohl weniger problematisch. Heikler wird es allerdings dann, wenn es sich um Medikamente für die Behandlung von Krankheiten und Leiden handelt, die der Nutzer gerne geheim halten möchte.
Ein weiteres Sicherheitsproblem geht von der Auswertung der gesammelten Daten aus. Wie die Experten ermittelt haben, arbeiten viele Skriptanbieter mit ungesicherten HTTP-Dashboards. Selbst wenn die eigentliche Webseite, von der die Daten stammen, über HTTPS gesichert ist, können kritische Informationen somit per Man-in-the-Middle-Angriffe von den Dashboards der Betreiber abgefangen werden.
Vor diesem Tracking können sich Nutzer kaum schützen. Auch entsprechende Browser-Tools wie "Do Not Track (DNT) würden eine Aufzeichnung oft nicht verhindern.
Seite 2/2
Auf einer Seite lesen
  1. Hunderte Webseiten spähen Nutzerverhalten aus
  2. Sensible Daten sind von der Aufzeichnung nicht immer ausgeschlossen
Artikel drucken
Alexandra Lindner
Das könnte Sie auch interessieren
Zum Welt-Passwort-Tag vor 13 Stunden
«95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen»
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
 
vor 13 Stunden
#LockedShields2024 22.04.2024
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
Das Kommando Cyber der Schweizer Armee nimmt im April zusammen mit nationalen und internationalen Partnern an der weltweit grössten Cyber Defense Übung #LockedShields2024 teil.
 
22.04.2024
WebGPU 15.04.2024
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
15.04.2024
Betrugsversuch 14.04.2024
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
14.04.2024