Achtung - Beliebte Webseiten zeichnen Eingaben und Klicks auf

Drei Sicherheitsforschern des Center for Information Technology Policy (CITP) der Princeton University haben bemerkt, dass 482 Webseiten aus den Alexa Top 50.000 ohne Zustimmung der Besucher sämtliche Eingaben und Mausklicks aufzeichnen. Die dafür verwendeten Scripts werden kostenpflichtig von Drittanbietern bereitgestellt. Auch die gesammelten Daten werden extern ausgewertet. In den aufgezeichneten Daten befinden sich versehentlich übertragene Passwörter und andere vertrauliche Daten wie Namen und Adressen der Besucher. Das Script Session-Replay wird auf den Internetauftritten von Microsoft, Samsung, AVG, Asus, Lenovo, Intel und anderen besucherstarken Webseiten eingesetzt.

Neben dem angesprochenen Session-Replay-Script enthält die Studie noch einige bereits seit langem bekannte Fakten. Die Forscher erwähnen, dass Webseiten Daten die in Formulare eingegeben werden erfassen und speichern auch dann, wenn Nutzer das Formular nicht abschicken und die Eingabe abbrechen. Überraschend ist, dass jedoch auch fehlerhafte Eingaben und Inhalte aus der Zwischenablage erfasst werden können.

Der Name Session-Replay-Script ist entstanden, da die Skripte eine Browsersitzung aufzeichnen und zu einem späteren Zeitpunkt wiedergeben können. Sie werden von Unternehmen eingesetzt, um genaue Daten über das Verhalten von Webseitenbesuchern zu erlangen. Das Ziel ist es, Inhalte die Probleme bereiten zu identifizieren um die Webseite so optimieren zu können. Die Studie kam jedoch zu dem Ergebnis, dass auf vielen Webseiten Session-Replay-Scripte nicht auf allen Seiten vorhanden waren, sondern vermehrt dort eingesetzt wurden, wo auch persönliche Daten eingegeben werden.

Die wichtigsten Anbieter von Session-Replay-Scripten sind laut der Studie Yandes, FullStory, Hotjar, UserReplay, Smartlook, Clicktale und SessionCam. Neben den bereits erwähnten Webseiten aus den Alexa 50.000 fanden die Forscher Scripte dieser Anbieter auch bei WordPress, GoDaddy, Spotiy, Skype, Softonic, Reuters, HP, Evernote, Comcast und Norton.

Aufgrund der Studie erklärten die Handelsketten Bonobos und Walgreens zukünftig keine Session-Replay-Scripte mehr einzusetzen. Das Magazin Motherboard weist darauf hin, dass ein Großteil der Scripte die Übertragung von sensiblen Informationen wie Passwörtern nicht zulassen. Es kam trotzdem regelmäßig zur Übertragung von Passwörtern, wenn zum Beispiel die Nutzer diese versehentlich in ein falsches Feld eingetragen haben.

In der Studie wird dies am Beispiel der Drogeriekette Walgreens erläutert, die ein Session-Replay-Script von FullStory eingesetzt hat. Eigentlich sollten mithilfe mehrere Filter persönliche Daten nicht übertragen werden. Auf dem Server von FullStory wurden trotzdem Details von verschiedenen Kunden, inklusive Rezepten und Krankheiten mit kompletten Namen und Adressen gespeichert. Die Anbieter UserReplay und SessionCam legen größeren Wert auf Datenschutz. Sie zeichnen nur Mausklicks aber keine Tastatureingaben der Webseitenbesucher auf.

Laut den Sicherheitsforschern sind die Anbieter der Scripte lohende Ziele für Hacker, die dort eine gigantische Menge von Daten gelangen können. Besonders Yandes, Hotjar und Smartlook schützen die gespeicherten Daten sehr schlecht. Obwohl eine browserbasierte Bedienoberflächen für Abonnementen besteht, wird der Datenverkehr nicht per SSL verschlüsselt. Die Autoren kommentierten dies wie folgt: „Das erlaubt es einem Man-in-the-Middle, Skripte einzuschleusen und alle aufgezeichneten Daten abzurufen.“