Tracking: Websites überwachen jede Texteingabe in Echtzeit
Publiziert

TrackingWebsites überwachen jede Texteingabe in Echtzeit

Nicht nur die Mausbewegungen und Scrolls der Nutzer werden aufgezeichnet. Eine Studie belegt, dass beliebte Websites sogar Tastatureingaben registrieren.

von
hau
1 / 5
Eine Studie der Universität Princeton hat ergeben, dass zahlreiche Websites Analyse-Tools von Drittanbietern verwenden, die nicht nur Bewegungen mit der Maus und das Scrollverhalten von Nutzern registrieren, sondern auch sämtliche Eingaben auf der Tastatur.

Eine Studie der Universität Princeton hat ergeben, dass zahlreiche Websites Analyse-Tools von Drittanbietern verwenden, die nicht nur Bewegungen mit der Maus und das Scrollverhalten von Nutzern registrieren, sondern auch sämtliche Eingaben auf der Tastatur.

20M
Der Clou: Eingaben – von Kreditkartennummern bis hin zu Passwörtern etwa – werden auch dann erfasst, wenn diese gar nicht abgeschickt werden. Wer sich vertippt oder aus Versehen Daten preisgibt, wird ebenfalls ungefragt registriert. Das läuft über sogenannte Session-Replay-Skripte.

Der Clou: Eingaben – von Kreditkartennummern bis hin zu Passwörtern etwa – werden auch dann erfasst, wenn diese gar nicht abgeschickt werden. Wer sich vertippt oder aus Versehen Daten preisgibt, wird ebenfalls ungefragt registriert. Das läuft über sogenannte Session-Replay-Skripte.

Steven Engelhardt
Unter den untersuchten Websites befinden sich bekannte Namen wie das Online-Spiel «League of Legends», aber auch Wordpress, Spotify, Reuters, Ryanair, Lenovo oder Adobe.

Unter den untersuchten Websites befinden sich bekannte Namen wie das Online-Spiel «League of Legends», aber auch Wordpress, Spotify, Reuters, Ryanair, Lenovo oder Adobe.

Screenshot LeagueofLegends.com

Besucher von Websites liefern den Betreibern in der Regel jede Menge Daten. In welchem Ausmass ein solches Tracking erfolgt, variiert jedoch stark und ist je nach Website verschieden. Problematisch sind vor allem sogenannte Session-Replay-Skripte.

Diese erlauben den Betreibern nicht nur, Bewegungen mit der Maus und das Scrollverhalten der Nutzer aufzuzeichnen, sondern auch jegliche Tastatureingaben in Echtzeit zu erfassen. Der Clou: Eingaben — von Kreditkartennummern bis hin zu Passwörtern etwa — werden auch dann erfasst, wenn diese gar nicht abgeschickt werden. Wer sich vertippt oder aus Versehen Daten preisgibt, wird ebenfalls ungefragt registriert.

Entdeckt haben das Forscher der Universität von Princeton. Ihre Untersuchung ergab, dass mindestens 482 der 50'000 weltweit beliebtesten Websites solche Schnüffel-Skripte verwenden. Diese Tools stammen im Übrigen meist von Drittanbietern wie der russischen Suchmaschine Yandex oder der Firma Hotjar, die dadurch ebenfalls Zugriff zu sensiblen Nutzer-Daten erlangen.

Bekannte Websites

Unter den untersuchten Websites befinden sich bekannte Namen wie League of Legends, Wordpress, Adobe, Spotify, Reuters, Ryanair oder auch die Website der Antiviren-Software Norton. Die Studie konnte zwar nicht zweifelsfrei feststellen, ob die Session-Replay-Skripte bei den besagten Websites zum Einsatz kommen. Bewiesen ist nur, dass sie über solche Analyse-Tools verfügen.

Aktive Skripte hingegen gibt es auf beliebten Websites wie Logitech, Lenovo, Nintendo, Gucci, Toyota, Airfrance und auch beim Disney Store. Fazit der Forscher: Laufen entsprechende Skripte, kann man sich nicht darauf verlassen, dass die unverschlüsselten Daten nicht aufgezeichnet werden. Eine Liste der Websites und der Art der verwendeten Skripte und verwendeten Untersuchungsmethode der Studie finden Sie hier.

Halb so schlimm?

Mittels Session-Replay können Daten in Echtzeit registriert und zum Zwecke der Besucheranalyse verwendet werden, böse Absichten braucht es dazu nicht. Auch zur Optimierung einer Website sind diese Tools durchaus sinnvoll. Also, alles halb so schlimm? Da einige Anbieter die erhobenen Daten nicht per SSL-Verschlüsselung (ein Netzwerkprotokoll zur sicheren Datenübertragung) weitergeben würden, ist dieses Geschäft allerdings auch für Kriminelle interessant. Wie die Forscher in ihrer Studie festhalten, können die Daten der kritisierten Websites relativ einfach von Dritten extrahiert werden.

Wenn überhaupt, dann können entsprechende Skripte lediglich über Skript-Blocker und Browser-Erweiterungen wie No Script daran gehindert werden, besagte Daten zu sammeln.

Deine Meinung