"Keylogger": Websites speichern Formulare vor der Datenübermittlung

17. Mai 2022, 09:49
  • security
  • studie
  • datenschutz
  • privatsphäre
image
Foto: Ken Suarez / Unsplash

Persönliche Daten und Kreditkartennummern werden laut einer Studie an die Websitebetreiber übermittelt, bevor Besucher die Transaktion endgültig abschliessen.

Ob bei der Buchung eines Hotelzimmers, dem Kauf von Turnschuhen oder der Anmeldung für einen Newsletter: Eigentlich sollten Nutzerinnen und Nutzer davon ausgehen dürfen, dass die eingegebenen Daten auf der Website erst dann an den Betreiber übermittelt werden, wenn sie auf "Senden" drücken.
Das ist nicht immer der Fall, wie eine internationale Untersuchung der Universitäten aus Lausanne, Radboud (Niederlande) und Leuven (Belgien) zeigt. Zahlreiche Websites speichern die Informationen schon, bevor diese von den Nutzenden "offiziell" abgeschickt und übermittelt werden.
Tausende Websites betroffen
"Wenn es bei einem Formular einen Senden-Button gibt, ist die vernünftige Erwartung, dass Ihre Daten erst übermittelt werden, wenn Sie darauf klicken“, zitiert 'Wired' Güneş Acar, Professor und Forscher an der Radboud-Universität. Man sei überrascht gewesen von den Ergebnissen, so Acar.
Für die Studie untersuchten die Forscher 100'000 Websites, jeweils mit Besucherstandort EU und USA. Ergebnis: 1844 Websites speicherten die Daten von EU-Nutzern und 2950 jene von US-Nutzerinnen. 52 Websites hätten sogar Passwortdaten vor der Übermittlung gesammelt. Diese Fälle seien aber mittlerweile nach dem Hinweis der Forscher an die Betreiber behoben, schreibt 'Wired'.
Keylogger-ähnliches Verhalten
Die Studienautoren schreiben, dass das Verhalten solcher Formulare im Kern an Keylogger erinnere. Viele der Websites würden aber anscheinend nicht selbst beabsichtigen, die Datenprotokollierung durchzuführen, sondern integrieren Marketing- und Analysedienste (gemeint sind Trackingpixel) von Drittanbietern, die das Verhalten verursachen. Das könnte auch zum regionalen Unterschied geführt haben: In der EU dürften Websitebetreiber aufgrund der DSGVO weniger Trackingpixel einsetzen als in den USA.
Das Löschen von Daten in einem nicht abgeschickten Formular oder das Schliessen des Browserfensters reicht also möglicherweise nicht mehr aus, um die Datenübertragung zu verhindern. Die Forschenden wollen iIhre finalen Ergebnisse Mitte August an der Usenix-Sicherheitskonferenz vorstellen.

Loading

Mehr zum Thema

image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022