Es sollte hinlänglich bekannt sein, dass Browser Plug-ins in der Lage sind, Daten wie die Browser-Historie eines Nutzers zu dokumentieren und anonymisiert weiterzugeben. Dies stellt für viele Entwickler ein Erlösmodell dar, um ihre kostenlosen Dienste zu monetarisieren. Mittlerweile hat sich allerdings ein Ökosystem darum entwickelt, in dem längst nicht mehr alle Marktteilnehmer sauber arbeiten und die Analysedienstleister teils nicht mehr unter Kontrolle haben, welche Daten sie anbieten.

Dies verdeutlicht Tech-Redakteur Fowler in einem ausführlichen Stück für die Washington Post. Er beschreibt detailliert die Ergebnisse von Jadali, der in eigener, sechs Monate andauernder Recherche gezielt Erweiterungen von Chrome und Firefox geprüft hat. Der Berater und Aktivist fand persönliche Daten einer seiner Kunden im Netz zum Verkauf und wollte dessen Quelle aufdecken. Dabei stieß er auf die Plattform Nacho Analytics, die mit zahlreichen Browser-Erweiterungen zusammenarbeitet.

Auf diesen Plattformen – Nacho nennt sich “Marketing Intelligence Service” – werden üblicherweise Daten für Targeting-Zwecke angeboten oder Traffic-Informationen über Wettbewerber preisgegeben. Doch neben den gängigen Daten fand Jadali auch weitaus kritischere. So konnte der Sicherheitsexperte etwa Informationen aus Krankenakten einsehen wie Patientennamen, behandelnde Ärzte oder Medikamente. Darüber hinaus entdeckte er in den Adresszeilen Check-in-Informationen von Fluggesellschaften, private Steuerdokumente via Cloud-Storage-Dienste und die Namen geschäftlicher Projekte, an denen User gerade arbeiteten. Die Einsicht der Klarnamen ist sicherlich auch ein Problem der Webseitenbetreiber, die diese Informationen nicht verschlüsseln. Doch beleuchtet sie eine grundsätzlich bedenkliche Entwicklung in der Branche.

Die sensiblen Informationen stammen aus Browser-Erweiterungen, die als Partner Daten an Nacho liefern. Dazu gehört “Hover Zoom”, das ein Kollege von Fowler installiert hatte, der prompt auf der Analytics-Plattform auftauchte. Das Programm hilft dabei, Teile des Bildschirms zu vergrößern, und weist knapp eine Million Downloads auf. Andere Add-Ons waren SpeakIt!, das Text in Sprache verwandelt, mit 1,4 Millionen Usern oder FairShare Unlock, das geteilte Premium-Logins anbietet, mit über 1 Million Nutzern. Die entsprechenden Erweiterungen kamen insgesamt auf über vier Millionen Anwender.

Mozilla und Google wollen diese Lecks natürlich verhindern und haben die genannten Erweiterungen auf Nachfrage entfernt. Jadali befürchtet jedoch nur die “Spitze des Eisbergs” gefunden zu haben. Um den Datenhandel hat sich eine ganze Industrie formiert. Nach Aussage des Sicherheitsexperten warten einige Plugins beispielsweise vier bis sechs Wochen, bevor sie anfangen Informationen zu ziehen. So würden sie sich durch die Kontrollen schmuggeln.

Untersuchungen der North Carolina State University weisen eine ähnliche Richtung auf. Von 180.000 angebotenen Erweiterungen in Chrome könnten 3.800 sensible Daten vermitteln, so das Ergebnis der Analyse. Dies sind zwar lediglich zwei Prozent der Add-Ons, doch finden sie gesammelt bei 60 Millionen Usern Anwendung.

Mike Roberts, CEO von Nacho Analytics, gibt bei der Washington Post zu Protokoll, dass nur Fowler und Sadali die persönlichen Informationen gesehen hätten, da sie schwer zugänglich seien. Alle anderen Kunden nutzen die Plattform seiner Aussage nach wie gedacht. Außerdem schwört er auf die Opt-Ins der Personen, die sie tracken. “So funktioniert nunmal das Internet”, meint der CEO.

Die Auffassung mag nicht grundlegend falsch sein, dennoch hat es Nacho Analytics nach der Abschaltung der Erweiterungen hart getroffen. Man nehme keine Kunden mehr an und könne keine neuen Daten für existierende mehr anbieten, heißt es auf der Website. Die Frage, die sich nun stellt, ist aber, ob es mit Nacho tatsächlich den richtigen getroffen hat oder das System und dessen Intransparenz an sich zur Diskussion gestellt werden sollten.