Boursorama Banque gibt Ihre Anmeldedaten preis

EDIT 11. August 2020: Boursorama gibt Ihre Verbindungsdaten nicht mehr an AT Internet und Smart AdServer weiter.

Boursorama CNAME-Korrektur

An AT Internet gesendete Daten laufen jetzt über die Domäne c0012.brsimg.com, an Smart AdServer gesendete Daten laufen über mehrere Domänen, einschließlich ww16.smartadserver.com. Somit haben AT Internet und Smart AdServer keinen Zugriff mehr auf die Authentifizierungscookies von Boursorama (Domäne boursorama.com).

Die Korrektur erfolgte vor dem 4. August, siehe diese Antwort von Boursorama. Beachten Sie auch die Transparenz von Boursorama in dieser späten Antwort. Außerdem respektiert Boursorama jetzt Ihre Entscheidung, wenn Sie sich weigern, im Web verfolgt zu werden (mit Ausnahme von AT Internet, für das eine Ausnahme von CNIL gilt). Es ist nicht alles perfekt: Boursorama hat immer noch eine feindselige Haltung gegenüber Adblocker-Benutzern und erlaubt es nicht, das Tracking in seiner App iOS zu verweigern, aber das ist bereits eine große Verbesserung. E-Mails, Artikel und Tweets von Kunden (das CNAME-Problem auf Boursorama war bereits im November 2019 bekannt) werden zweifellos dazu beigetragen haben, Boursorama in Gang zu bringen.

Boursorama verfolgt Sie im Kundenbereich seiner Website

Boursorama betreibt mit Boursorama Banque eine sehr beliebte und effiziente Onlinebank. Diese hat Ende 2019 die Marke von 2 Millionen Kunden überschritten. Als Kunde wollte ich prüfen, ob die Website von Boursorama Banque meine personenbezogenen Daten preisgibt. Sie können das selbst nachvollziehen, indem Sie diese Schritte befolgen:

Deaktivieren Sie Ihren Adblocker.
Löschen Sie Cookies in Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen).
Öffnen Sie die Chrome-Konsole (⌘+Wahl+J auf Mac, Strg, Umschalt und J auf dem PC), die Registerkarte „Netzwerk“ oder starten Sie Charles Proxy.
Gehen Sie dann auf die Anmeldeseite Ihres Boursorama-Banque-Kundenkontos und melden Sie sich an.

Überraschung: Boursorama Banque trackt Sie tatsächlich im Kundenbereich:

Boursorama – Kundenbereich

Hier sind die Unternehmen, die Ihre personenbezogenen Daten erfassen:

AT Internet: über c0011.boursorama.com (wir werden später auf diese Subdomain zurückkommen, die auf den ersten Blick unbedeutend erscheint), historisches französisches Analyseunternehmen, früher Xiti genannt, das Ihr gesamtes Surfen sowie die Eigenschaften Ihres Geräts wiederherstellt. Das Analysetool ermöglicht es Boursorama, User Journeys zu analysieren und das Erlebnis seiner Website zu verbessern.
Smart AdServer: Französisches Unternehmen, das einen Publisher-Ad-Server und eine Lösung zur Monetarisierung von Werbeinventar (SSP) anbietet. Was bringt es, eine Werbelösung in einem Kundenbereich ohne Werbung zu nennen?
Rubicon: Werbeinventar-Monetarisierungslösung (SSP), kürzlich fusioniert mit Telaria, um Magnite zu bilden. Auch hier verstehen wir nicht wirklich, warum Boursorama eine Werbelösung fordert.
Commanders Act: über trustcommander.net, ehemals TagCommander, ein französisches Unternehmen, das mehrere Produkte anbietet, darunter in der Vergangenheit einen „Tag Manager“ (ermöglicht das Auslösen von Marketing-Tags, ohne Entwickler hinzuziehen zu müssen, ein echtes „Trojanisches Pferd“ für Marketingteams), eine „Customer Data Platform“ (zentralisiert Ihre personenbezogenen Daten) und eine „Consent Management Platform“. (Lösung zur Einholung von Einwilligungen).

AT Internet und Smart AdServer können sich mit Ihrem Boursorama-Banque-Konto verbinden

Die Integration von AT Internet-Trackern ist in den von Ihrem Computer gesendeten Anfragen nicht direkt sichtbar. Wir beobachten Anfragen an c0011.boursorama.com, aber man muss tiefer graben, um zu erkennen, dass diese Subdomain nicht von Boursorama verwaltet wird, sondern delegiert von Boursorama an AT Internet. Wie ? Über die Registrierung eines CNAME (ein Alias), der auf eine von AT Internet verwaltete Domain verweist. Sie können den CNAME-Eintrag auf dieser Site überprüfen, zum Beispiel:

Delegation Boursorama bei Internet Cname

Und dann überprüfen Sie den Besitzer der Domain at-o.net auf dieser Site:

A.T.

AT Internet verbirgt daher bei Boursorama: eine Subdomain Boursorama, die nicht auffällt (c0011.boursorama.com), die aber auf eine obskure Domain verweist (at-o.net). AT Internet versteckt sich dann hinter den AWS-Domänen in der WHOIS-Registrierung (nur der CNAME-Eintrag ermöglicht es Ihnen, zur Quelle zurückzukehren):

Whois AT

Diese versteckte Präsenz von AT Internet (ehemals Xiti) bei Boursorama Banque war dem hervorragenden Aeris bereits im November 2019 aufgefallen. Boursorama hatte also immer noch nicht reagiert:

Warum bietet AT Internet diese Option an und warum wird sie von Boursorama übernommen? Wenn wir die AT Internet-Dokumentation über die „benutzerdefinierte Domain“ (CNAME) lesen, ist das Ziel einfach: den Schutz von Browsern und Adblockern zu umgehen:

Um die Datenerfassung zu den besten Konditionen zu gewährleisten, bieten wir die Versendung von Treffern an unsere Server mit einem CNAME von einer Ihrer Subdomains an. Durch die Verwendung einer benutzerdefinierten Domain behalten Sie Ihre Zugriffe und durch die Einhaltung Ihrer SLAs können Sie sogar von der besten Cookie-Konfiguration (ITP) profitieren.

Mit „Sie behalten Ihre Treffer“ meinen wir, dass die Adblocker nicht unbedingt auf dem neuesten Stand sein werden und die Anfragen wahrscheinlich nicht blockieren (Pech für Boursorama, uBlock Origin blockiert c0011.boursorama.com).

Mit „Sie können sogar von der besten Cookie-Konfiguration (ITP) profitieren“ sollten Sie verstehen, dass AT Internet-Cookies, die mit der Domain der Website (Erstanbieter) verknüpft sind, nicht durch Browsermechanismen zum Schutz Ihrer Privatsphäre blockiert werden, wie z. B. Safari Intelligent Tracking Prevention (ITP). AT Internet kommt in seinem Artikel auf dieses Merkmal zurück:

Browser wie Safari erfordern jetzt Cookies, die erstseitig (von der aktuellen Domäne hinterlegt), serverseitig (von einem Server, nicht von JavaScript) und sicher (https) sind. Um diese Erwartungen zu erfüllen, stellen wir eine Konfiguration bereit, die potenzielle Einschränkungen oder Blockaden vermeidet, die sich auf Ihre Analysen auswirken.

AT Internet erwähnt die Sicherheitsrisiken, die mit der Verwendung von CNAME verbunden sind, nicht. Und doch sind sie groß, wie wir bereits im Fall von Criteo und wie Aeris zuvor erklärt gesehen haben. Wenn die Partnerseite keine Vorkehrungen getroffen hat, kann AT Internet alle gesetzten Cookies lesen und nicht nur die von AT Internet erstellten Cookies. Schauen wir uns also die Cookies an, die Ihr Browser über die Domain c0011.boursorama.com an AT Internet sendet:

Kekse Boursorama

Somit hat AT Internet Zugriff auf alle Cookies, die auf dem Domainnamen boursorama.com platziert sind, einschließlich der Cookies, die es Ihnen ermöglichen, in Verbindung zu bleiben... Lassen Sie uns also prüfen, ob ein Benutzer, der den Wert dieser Cookies zurückerhält, Ihr Boursorama-Bankkonto an sich reißen kann:

Deaktivieren Sie Ihren Adblocker.
Starten Sie Charles Proxy und verbinden Sie sich dann über Chrome mit Ihrem Boursorama-Banque-Kundenkonto.
Rufen Sie Cookies ab, die über Charles Proxy an c0011.boursorama.com gesendet wurden.
Löschen alle Browserdaten aus Chrome.
Gehen Sie zu https://clients.boursorama.com/, Ihre Verbindung zu Boursorama Banque ist getrennt.
Verwenden Sie die Chrome-Erweiterung EditThisCookie, um Ihre verschiedenen Boursorama-Cookies zu erstellen oder zu aktualisieren.
Aktualisieren Sie die Seite, Sie sind verbunden!

Edition Cookies Boursorama Hier müssen Sie die verschiedenen Cookies konfigurieren

Ihre Sitzung läuft nach einer bestimmten Zeit ab, daher muss AT Internet schnell sein, um davon profitieren zu können. Dies bedeutet jedoch, dass ein böswilliger AT Internet-Mitarbeiter eine Verbindung zum Boursorama-Bankkonto eines beliebigen Benutzers herstellen kann. Theoretische Bedrohung: Dieser Mitarbeiter muss über die technischen Fähigkeiten und die entsprechende Berechtigung verfügen, um die Serverprotokolle zu analysieren. Übrig bleiben nur noch die Bankdaten von mehr als 2 Millionen Franzosensind gefährdet.

Die gleiche Sicherheitslücke gilt für Smart AdServer über die Domain ads.boursorama.com, die für Adblocker bereits etwas „lesbarer“ ist:

CNAME Smart AdServer

Smart AdServer sammelt daher auch Cookies von boursorama.com, wodurch ein böswilliger Smart AdServer-Mitarbeiter eine Verbindung zum Boursorama-Bankkonto eines beliebigen Benutzers herstellen kann:

Smart AdServer-Cookies

Schauen wir uns die Cookie-Richtlinie von Boursorama an. Wir können dieses Nugget lesen:

Cookie-Richtlinie von boursorama

Wie wir gerade gesehen haben, hat Boursorama eine Technik implementiert, die es Dritten (AT Internet und Smart AdServer) ermöglicht, die Cookies des Emittenten Boursorama zu lesen.

Müllverfolgung, Boursorama berücksichtigt dies nicht

Was passiert, wenn Sie sich die Mühe machen, Boursorama mitzuteilen, dass Sie nicht getrackt werden möchten?

Banner-Zustimmungs-Boursorama

Boursorama ist der Ansicht, dass die Fortsetzung Ihrer Navigation eine Einwilligung darstellt, wie CNIL es in seiner übermäßigen Schwäche immer noch zulässt. Klicken wir jedoch auf „Konfigurieren Sie Ihre Cookies“:

Zwecke Boursorama

Ja, alle Zwecke werden standardmäßig überprüft, ein weiterer Verstoß gegen die DSGVO. Deaktivieren wir also die verschiedenen Zwecke (Werbung und Statistik). Wenn wir zum Beispiel den Abschnitt über Statistiken sorgfältig lesen:

Sammeln von Informationen über Ihre Nutzung der Inhalte und Kombinieren dieser Informationen mit den zuvor gesammelten Informationen, um zu bewerten, zu verstehen und darüber zu berichten, wie Sie den Dienst nutzen. Dies umfasst nicht die Personalisierung, das Sammeln von Informationen über Ihre Nutzung dieses Dienstes, um Ihnen anschließend personalisierte Inhalte und/oder Werbung in anderen Kontexten, d. h. auf anderen Diensten, wie Websites oder Anwendungen, zuzusenden

Beachten Sie, dass dieses Einwilligungsbanner von der CMP (Consent Management Platform) von Commanders Act stammt, dem schlecht benannten TrustCommander. Wenn die Websites Ihnen das Leben mit diesen unerträglichen Bannern so schwer machen, dass Sie zehnmal klicken müssen, um die Verfolgung zu verweigern (und keine einfache Ja/Nein-Auswahl), dann liegt das auch daran, dass Softwarehersteller dies zulassen.

Wir würden dann davon ausgehen, dass AT-Internet-Tracking nicht mehr zu sehen ist, oder? Fehler, Boursorama berücksichtigt Ihre Präferenzen nicht, wie Charles zeigt, wenn Sie sich erneut mit Ihrem Kundenbereich verbinden:

Cookies Boursorama Opt-out

Boursorama gibt Ihre personenbezogenen Daten weiterhin an Rubicon, AT Internet und Smart AdServer weiter. Bonus: Sie ermöglichen AT Internet und Smart AdServer weiterhin den Zugriff auf Ihr Boursorama-Banque-Konto, indem Sie alle mit der Domain boursorama.com verknüpften Cookies durchsickern lassen.

Boursorama ist feindselig gegenüber Adblocker-Benutzern

Sie könnten sich dann sagen: Glücklicherweise verwende ich einen Adblocker, er schützt mich sowohl vor allgemeinem Tracking als auch vor Sicherheitslücken wie dieser (und im Fall von uBlock Origin blockiert er tatsächlich c0011.boursorama.com und ads.boursorama.com). Allerdings möchte Boursorama nicht, dass Sie sich schützen. Wenn Sie Ihren Adblocker aktivieren, werden Sie mit dieser Meldung begrüßt:

Boursorama Banque

Boursorama sagt Ihnen, dass der Einsatz eines Adblockers die gute Navigation im Kundenbereich erheblich beeinträchtigen kann: Das ist falsch. Aber Boursorama geht noch weiter:

Boursorama empfiehlt Ihnen, Ihren Adblocker zu deaktivieren, um risikofreies Surfen und Abfragen Ihrer Konten zu ermöglichen!

Seien Sie sich der Ironie bewusst, dass der Adblocker es Ihnen ermöglicht, sich vor der durch Boursorama eingeführten Sicherheitslücke zu schützen! Beachten Sie, dass Boursorama hier nicht aufhört, sie haben auch einen Artikel geschrieben, in dem erklärt wird, wie man Adblock in der Online-Hilfe des Kundenbereichs, Abschnitt „Meinen Kundenbereich schützen“ deaktiviert!

Daher empfehle ich Ihnen, im Web einen Werbeblocker wie uBlock Origin in Kombination mit Firefox zu verwenden (oder andere datenschutzfreundliche Browser wie Brave und Safari).

Nutzen Sie die iPhone-App? Auch Boursorama Banque gibt Ihre personenbezogenen Daten preis

Um das Tracking zu verstehen, das Boursorama Banque in seiner iPhone-App eingebunden hat, bin ich folgendermaßen vorgegangen:

Schließen der verschiedenen Hintergrundanwendungen.
Einführung der der Charles Proxy-Anwendung und Aktivierung der Nachverfolgung.
Starten Sie die App Boursorama Banque und nutzen Sie anschließend die App.
Export von Protokollen aus meiner Charles Proxy-Sitzung auf meinen Computer.

Boursorama Banque iOS

Die App ist genauso gesprächig wie die Website, sie gibt Ihre personenbezogenen Daten an die folgenden Unternehmen weiter:

Google: über Firebase Developer Toolkit.
AT Internet: über xiti.com (Xiti ist der alte Name von AT Internet), Boursorama lässt Ihre Navigation durchsickern, dieses Mal jedoch kein Durchsickern von boursorama.com Cookies.
Smart AdServer: keine Werbung in der Anwendung, daher fragen wir uns immer noch, warum Boursorama Smart AdServer aufruft.

„Glücklicherweise“ gelangen hier keine Boursorama-Daten an Smart AdServer weiter, trotz der Verwendung der Domäne ads.boursorama.com (nur Smart AdServer-Cookies). Ihre Sitzungsinformationen zur iPhone-Anwendung werden nicht in Cookies gespeichert.

Wie können Sie sich vor weit verbreitetem Tracking und Sicherheitslücken in Apps schützen? Sie können unter iOS Apps wie DNSCloak, AdGuard oder NextDNS verwenden.

Boursorama verstößt gegen seine Kundendatenschutzrichtlinie

Wenn wir die Datenschutzerklärung für Kunden von Boursorama Banque lesen, ist die Verpflichtung zur Sicherheit und zum Schutz Ihrer personenbezogenen Daten klar verankert. Das Dokument beginnt mit:

Boursorama ist bestrebt, eine starke und dauerhafte Beziehung zu seinen Kunden aufzubauen, die auf Vertrauen und gegenseitigem Interesse basiert. Als dem Bankgeheimnis unterliegendes Kreditinstitut gewährleistet Boursorama die Sicherheit und Vertraulichkeit der ihr anvertrauten Informationen. Darüber hinaus ist Boursorama entschlossen, Ihre persönlichen Daten und Ihre Privatsphäre zu schützen.

Das Vertrauen ist offensichtlich gebrochen, Boursorama gewährleistet nicht die Sicherheit und Vertraulichkeit der ihm anvertrauten Informationen. Boursorama fährt dann mit diesem Absatz fort:

Boursorama Engagement

Boursorama ermöglicht Dritten (AT Internet und Smart AdServer) den Zugriff auf mein Kundenkonto, das beispielsweise meine Bankgeschäfte enthält. In Teil 3. Wer sind die Empfänger personenbezogener Daten informiert Boursorama darüber, dass es Ihre Daten möglicherweise an Behörden, Finanzorganisationen und seine technischen Dienstleister weitergibt.

Keine Informationen zu AT Internet oder Smart AdServer. Fallen diese in die Kategorie „technische Dienstleister“? Wenn ja, kommuniziert Boursorama so über „technische Dienstleister“:

Boursorama Dienstleister

Meine Verbindungsdaten zählen selbstverständlich nicht zu den für die Reichweitenmessung bzw. Auslieferung von Werbung unbedingt notwendigen Informationen. Abschließend erfahren Sie hier, wie Boursorama über die Sicherheit Ihrer Daten kommuniziert:

Boursorama Sicherheit

Meine Verbindungsdaten werden von unbefugten Dritten abgefangen: AT Internet und Smart AdServer.

Auf welche Veränderungen können wir hoffen?

Obwohl ich bei einer Online-Bank wie der Boursorama Banque nicht mit einer solchen Sicherheitslücke gerechnet habe, ist das Problem leider weit verbreitet:

Criteo hat es geschafft, mehr als 10.000 Websites davon zu überzeugen, einen CNAME zu installieren.
Es ist schwierig, eine vollständige Liste zu haben, aber andere Analyse- oder Werbelösungen bieten ebenfalls die Installation eines CNAME an: AT Internet und Smart AdServer, wie wir gesehen haben, aber auch Eulerian, Keyade, Adobe, ContentSquare oder Commanders Act (Ja, das Unternehmen, das die Einwilligungseinholungslösung „TrustCommander“ anbietet, die von Boursorama verwendet wird und das Motto hat: „Vertrauen schaffen durch Ausspielen der Transparenzkarte“).

Adobe CNAME Dachten Sie, dass die CNAME-Technik „beschränkt“ ist, um Marketingunternehmen zu verschleiern? Fehler, Adobe bietet es auch an.

„Vorteile“ dieser Tools: Adblocker und Browser-Schutzmaßnahmen umgehen, um Sie immer besser verfolgen zu können, auch wenn Sie dies nicht möchten. Offensichtlich sollten diese Tools aufhören, die CNAME-Option anzubieten, da sie als Technologieanbieter eine große Verantwortung tragen. Das Gefühl der Straflosigkeit hilft nicht: Warum ändern ohne Sanktionen von CNIL?

Aber Websites tragen ebenfalls eine große Verantwortung: In ihrem Wunsch, Sie immer besser zu überwachen und Ihre Informationen besser zu monetarisieren, vergessen sie die Sicherheit Ihrer personenbezogenen Daten. Auch hier ist das Fehlen einer echten Aufsicht spürbar. Boursorama sollte sich schämen:

Löschen Sie die CNAMEs und verwenden Sie die „Standard“-Versionen der AT Internet- und Smart AdServer-Tracker.
Löschen Sie die Werbetracker Smart AdServer und Rubicon aus Ihrem Kundenbereich und Ihrer Anwendung.
Schlagen Sie einen echten Mechanismus zur Einholung der Einwilligung vor (Opt-in) und respektieren Sie ihn.
Stoppen Sie die feindselige Haltung gegenüber Adblocker-Benutzern.

Boursorama Brad Pitt

Es liegt an Ihnen, Boursorama zu spielen, reaktionsschnell zu sein und die Bankdaten Ihrer Kunden besser zu schützen. So verdienen Sie sich das Recht, weiterempfohlen zu werden.