Hunderte Webseiten spähen Nutzerverhalten aus
Sensible Daten sind von der Aufzeichnung nicht immer ausgeschlossen
Obwohl die Analyse-Tools bemüht darum seien, zum Beispiel Passwörter aus der Sitzungsaufzeichnung auszuschliessen, konnte dies nicht vollständig verhindert werden. Zudem war es, wie bereits erwähnt nicht nötig, den "Submit-Button" anzuklicken. Die blosse Eingabe reichte bereits aus.
Ähnlich verhält es sich etwa beim Anlegen eines neuen Accounts. Je nach Webseite ist es teilweise erforderlich Kreditkarten-Informationen anzugeben. Etwa dann, wenn es sich um einen Online-Shop oder eine Webseite mit kostenpflichtigem Abo oder ähnliches handelt. Bei einigen Analyse-Tools wurde hierbei jeder einzelne Tastenanschlag aufgezeichnet und an den Drittanbieter übermittelt.
Betreiber müssten jedes einzelne Element aktiv überprüfen
Das Problem liegt laut den Experten darin, dass die Webseitenanbieter jedes einzelne Element ihres Onlineauftritts aktiv überprüfen und explizit aus der Sitzungsaufzeichnung ausschliessen müssen. Eine Automation hierfür gebe es nicht. Dieser Vorgang sei kompliziert, fehleranfällig und kostspielig. Zudem würden sich die Codes der Webseiten mit der Zeit immer wieder verändern.
Welche Daten schlussendlich vertraulich sind und nicht übermittelt werden sollen, ist nicht immer leicht abzugrenzen. Während Passwörter und Kreditkarten-Informationen sicherlich indiskutabel sind, wird es etwa bei der Suchanfrage schon schwieriger.
In der Untersuchung von free-to-tinker inbegriffen war etwa die Apothekenabteilung von Walgreens. Sucht nun ein Nutzer völlig harmlose Medikamente, ist eine entsprechende Aufzeichnung wohl weniger problematisch. Heikler wird es allerdings dann, wenn es sich um Medikamente für die Behandlung von Krankheiten und Leiden handelt, die der Nutzer gerne geheim halten möchte.
Ein weiteres Sicherheitsproblem geht von der Auswertung der gesammelten Daten aus. Wie die Experten ermittelt haben, arbeiten viele Skriptanbieter mit ungesicherten HTTP-Dashboards. Selbst wenn die eigentliche Webseite, von der die Daten stammen, über HTTPS gesichert ist, können kritische Informationen somit per Man-in-the-Middle-Angriffe von den Dashboards der Betreiber abgefangen werden.
Vor diesem Tracking können sich Nutzer kaum schützen. Auch entsprechende Browser-Tools wie "Do Not Track (DNT) würden eine Aufzeichnung oft nicht verhindern.