Session Replay: Beliebte Websites zeichnen alle Klicks und Eingaben auf

Die benötigten Skripte stellen Drittanbieter zur Verfügung. Sie werten auch die gesammelten Daten aus. Darunter sind versehentlich übertragene Passwörter und vertrauliche Daten wie Klarnamen. Session-Replay-Skripte finden sich unter anderem auf den Seiten von Microsoft, Samsung, AVG, Asus, Lenovo und Intel.

Drei Forscher des Center for Information Technology Policy (CITP) der Princeton University haben Skripte untersucht, die es Websitebetreibern erlauben, jegliche Interaktion von Nutzern mit ihren Online-Angeboten nachzuvollziehen. In vielen Fällen sollen diese Informationen auf Servern von Drittanbietern landen, wie Motherboard berichtet.

Datenschutz (Bild: Shutterstock)Einige Details ihrer Studie erscheinen nicht neu. Beispielsweise, dass Websites in Formulare eingegebene Daten auch dann erfassen, wenn Nutzer das Formular nicht speichern und den Vorgang abbrechen. Es sollen aber auch fehlerhafte Eingaben und sogar versehentlich über die Zwischenablage eingefügte Inhalte erfasst werden.

Die Skripte werden, da sich mit ihnen eine Browsersitzung aufzeichnen und zu einem späteren Zeitpunkt wiedergeben lässt, Session Replay-Skripte genannt. Unternehmen setzen sie ein, um Erkenntnisse über die Nutzung ihrer Websites zu gewinnen und Inhalte zu identifizieren, die Besuchern Probleme bereiten oder missverständlich sind. Sie sollen jedoch nicht in allen Seiten eines Online-Angebots integriert sein, sondern häufig nur in Seiten, in denen persönliche Informationen eingegeben werden.

Was ein solches Skript kann, zeigen die Forscher in einem Video. Wichtige Anbieter von Session-Replay-Scripts sind der Studie zufolge Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale und SessionCam. Ihre Dienste nehmen demnach 482 der laut Alexa 50.000 meistbesuchten Websites weltweit in Anspruch, darunter die Angebote von WordPress, Microsoft, GoDaddy, Spotify, Skype, Softonic, Reuters, HP, Evernote, Samsung, AVG, Comcast, Asus, Norton, Lenovo und Intel.

Die Handelsketten Bonobos und Walgreens erklärten dem Bericht zufolge, künftig auf Session-Replay-Skripte zu verzichten. Motherboard weist in dem Zusammenhang darauf hin, dass die Anbieter der Skripte in der Regel die Übertragung bestimmter Informationen wie Passwörter von sich aus unterdrücken oder untersagen. Trotzdem landeten Kennwörter immer wieder versehentlich auf den Servern der Anbieter. Das gelte auch für bestimmte persönliche Daten, die der Datenlieferant eigentlich zu „schwärzen“ habe.

Als Beispiel wird in dem Bericht die Drogeriekette Walgreens genannt, die Skripte von FullStory verwendete. Obwohl Walgreens verschiedene Funktionen nutze, um persönliche Daten herauszufiltern, wären Details zu Krankheiten und Rezepten von Kunden inklusive ihrer Namen übermittelt worden. Wohl aus diesem Grund blockierten die Anbieter UserReplay und SessionCam von sich aus alle Tastatureingaben und verfolgten nur Mausklicks.

Die Skripte-Anbieter stufen die Forscher außerdem als lohnende Ziele für Hacker ein. Das sei vor allem im Fall von Yandex, Hotjar und Smartlook bedenklich, da sie browserbasierte Bedienoberflächen für Kunden zur Verfügung stellten, die nicht per verschlüsseltem HTTP (HTTPS) gesichert seien. „Das erlaubt es einem Man-in-the-Middle, Skripte einzuschleusen und alle aufgezeichneten Daten abzurufen“, schreiben die Autoren der Studie.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Themenseiten: Datenschutz, Privacy, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Session Replay: Beliebte Websites zeichnen alle Klicks und Eingaben auf

Kommentar hinzufügen
  • Am 24. November 2017 um 8:31 von Sterni

    Das Problem sind die Anbieter und nicht die User. Und der Gesetzgeber. Es kann nicht sein, dass das Gesetz diesen Datendiebstahl erlaubt.

    Das sich die Firmen, die mit uns Gewinn machen, einen Dreck um Privatsphäre und Datenschutz scheren, ist ein Skandal. Dumm nur, dass uns einzig der Verzicht auf Online Dienste bleibt.

    Es ist erstaunlich, dass in der Schweiz das Gesetz unerwünschte Werbung im Briefkasten ernst nimmt, aber jede Webseite darf meine Daten abgreifen, auf Drittserver speichern und weiterverarbeiten. Keiner guckt hin.

    Gerade Uber könnte man leicht in die Knie zwingen. Ein paar Monate nur noch 50% Umsatz und dann haben die richtig Druck. Meine Uber App ist deinstalliert.

  • Am 24. November 2017 um 2:26 von Andreas

    Und das ist wohl nur die Spitze des Eisberges.
    Aber die Leute haben ja nichts zu verbergen und brauchen keine Hilfe; 2von 3 wären dann schon erledigt.

  • Am 22. November 2017 um 14:36 von Klaus der Wütende

    Unglaublich: drei Schlagzeilen nur eines Tages, und dreimal ist, bzw. wurde der Anwender dreist als Opfer ausspioniert:

    – Session Replay: Beliebte Websites zeichnen alle Klicks und Eingaben auf
    – Uber verheimlicht über ein Jahr Hackerangriff und massiven Datenverlust
    – Trotz deaktivierter Standortdienste: Android sendet Positionsdaten an Google

    Ich muss mich korrigieren, das ist schlimmer als der wilde Westen. Wo man hinsieht: Datendiebstahl. Und niemand interessiert sich dafür.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *