"Keylogger": Websites speichern Formulare vor der Datenübermittlung

17. Mai 2022, 09:49
  • security
  • studie
  • datenschutz
  • privatsphäre
image
Foto: Ken Suarez / Unsplash

Persönliche Daten und Kreditkartennummern werden laut einer Studie an die Websitebetreiber übermittelt, bevor Besucher die Transaktion endgültig abschliessen.

Ob bei der Buchung eines Hotelzimmers, dem Kauf von Turnschuhen oder der Anmeldung für einen Newsletter: Eigentlich sollten Nutzerinnen und Nutzer davon ausgehen dürfen, dass die eingegebenen Daten auf der Website erst dann an den Betreiber übermittelt werden, wenn sie auf "Senden" drücken.
Das ist nicht immer der Fall, wie eine internationale Untersuchung der Universitäten aus Lausanne, Radboud (Niederlande) und Leuven (Belgien) zeigt. Zahlreiche Websites speichern die Informationen schon, bevor diese von den Nutzenden "offiziell" abgeschickt und übermittelt werden.
Tausende Websites betroffen
"Wenn es bei einem Formular einen Senden-Button gibt, ist die vernünftige Erwartung, dass Ihre Daten erst übermittelt werden, wenn Sie darauf klicken“, zitiert 'Wired' Güneş Acar, Professor und Forscher an der Radboud-Universität. Man sei überrascht gewesen von den Ergebnissen, so Acar.
Für die Studie untersuchten die Forscher 100'000 Websites, jeweils mit Besucherstandort EU und USA. Ergebnis: 1844 Websites speicherten die Daten von EU-Nutzern und 2950 jene von US-Nutzerinnen. 52 Websites hätten sogar Passwortdaten vor der Übermittlung gesammelt. Diese Fälle seien aber mittlerweile nach dem Hinweis der Forscher an die Betreiber behoben, schreibt 'Wired'.
Keylogger-ähnliches Verhalten
Die Studienautoren schreiben, dass das Verhalten solcher Formulare im Kern an Keylogger erinnere. Viele der Websites würden aber anscheinend nicht selbst beabsichtigen, die Datenprotokollierung durchzuführen, sondern integrieren Marketing- und Analysedienste (gemeint sind Trackingpixel) von Drittanbietern, die das Verhalten verursachen. Das könnte auch zum regionalen Unterschied geführt haben: In der EU dürften Websitebetreiber aufgrund der DSGVO weniger Trackingpixel einsetzen als in den USA.
Das Löschen von Daten in einem nicht abgeschickten Formular oder das Schliessen des Browserfensters reicht also möglicherweise nicht mehr aus, um die Datenübertragung zu verhindern. Die Forschenden wollen iIhre finalen Ergebnisse Mitte August an der Usenix-Sicherheitskonferenz vorstellen.

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022
image

70% der Schweizer Industriebetriebe Opfer von Cyberattacken

Eine Mitgliederbefragung des Branchenverbands Swissmem zeigt, dass mehr als Zweidrittel der Firmen mindestens einmal attackiert wurden, einzelne sogar mehr als 20-mal.

publiziert am 23.6.2022