Immer aufdringlichere Werbeüberwachung
Trotz der Vorschriften (DSGVO, ePrivacy, CCPA), Browser-Schutzmaßnahmen (Firefox, Safari oder Mutig), Browser-Werbeblocker (uBlock Origin) oder über den DNS-Dienst (WeiterDNS, Adguard oder Pi-Loch) hat die Werbeüberwachung nicht abgenommen. Es ist mutiert, um Ihren Schutz zu umgehen.
Der Beschleuniger dieser Entwicklung? Facebook offensichtlich mit seinen „resilienten Signalen“Dadurch kann ein großer Teil der durch Ihre Online- und Offline-Aktivitäten generierten Daten abgesaugt werden. Da das Third-Party-Cookie als Überwachungsvektor verschwindet (eine Ausnahme bildet Google Chrome), war es notwendig, neue Überwachungsvektoren zu finden, die von Internetnutzern nicht einfach zurückgesetzt werden können. Als Inspiration nehmen Adtech-„Champions“ wie CriteoFacebook fordert Werbetreibende dazu auf, ihm Ihre E-Mail-Adresse, Ihren Namen, Ihre Telefonnummer oder Ihre Postanschrift zu senden: „Resiliente Signale“.
Wenn viele Adtech-Player (Liverampe, Criteo) Sie schon seit langem über Ihre E-Mail-Adresse identifizieren, ist das Phänomen bei den großen Werbeplattformen relativ neu. Die Studie „Undichte Formulare: Eine Studie zur E-Mail- und Passwort-Exfiltration vor der Formularübermittlung„ verdeutlichte das Ausmaß der E-Mail-Lecks im Web, für Adtech-Player, aber auch für Facebook und TikTok.
Wie könnte Ihre E-Mail an diese großen Plattformen gelangen? Das werden wir mit Guerlain entdecken, einem der Flaggschiffe des französischen Luxus und im Besitz von LVMH-Gruppe.
Noch bevor Sie ein Guerlain-Konto erstellen, gelangt der Hash Ihrer E-Mail bereits an Pinterest
Navigieren wir für diesen Test zu der Guerlain-Website, mit dem Werkzeug Charles Proxy aktiviert, und klicken Sie ausnahmsweise auf „Akzeptieren und schließen“, wenn das Einwilligungsbanner angezeigt wird (zu Guerlains Gunsten muss ich sagen, dass ich bei Ablehnung keine E-Mail-Hash-Lecks bemerkt habe):
„Verbessern Sie Ihr Erlebnis und bieten Sie Dienstleistungen und Kommunikation an, die auf Ihre Interessen zugeschnitten sind“, eine scheinbar harmlose Botschaft.
Dann navigieren wir durch die Seite zur Erstellung eines Guerlain-Kontos, und beginnen wir mit dem Ausfüllen des Formulars:
Diese persönlichen Daten sollten doch nur Guerlain betreffen, oder?
Schauen wir uns an, was auf Charles Proxy passiert, wenn Sie Ihre E-Mail-Adresse eingeben, noch bevor Sie die E-Mail bestätigen:
Beachten Sie eine seltsame Anfrage an das soziale Netzwerk Pinterest.
Der Parameter pd der Anfrage an Pinterest enthält einen weiteren Parameter em, bestehend aus einer langen, scheinbar unentzifferbaren Zeichenfolge. Pinterest-Dokumentation für Werbetreibende gibt die Antwort:
PD: Partnerdaten.
em: gehashter E-Mail-Adresswert.
Guerlain gibt daher einen Hash Ihrer E-Mail-Adresse an Pinterest weiter, noch bevor Sie die Erstellung Ihres Kontos bestätigt haben! Dieser Dienst heißt eigentlich „Enhanced Match“ (die Bedeutung von em), Ich habe letzten Mai darüber gesprochen :
Keine Cookies von Drittanbietern? Kein Problem!
Aber keine Sorge, Pinterest nutzt ein Hash Ihrer E-Mail-Adresse und die Verbindung zu Pinterest ist sicher, Ihre Privatsphäre ist geschützt !
Erlauben Sie Websites, Ihre E-Mails preiszugeben, und tun Sie so, als ob Sie dies tun würden, um Ihre Privatsphäre zu schützen!
Die Realität ist so Die Korrespondenz zwischen Ihrer E-Mail und ihrem Hash ist wahrscheinlich bereits weit verbreitet und Unternehmen verdienen damit Geld.
Wie können Sie selbst überprüfen, ob Guerlain einen Hash Ihrer E-Mail an Pinterest weitergibt? Geben Sie Ihre E-Mail-Adresse ein diese Seite, indem Sie die richtige Hash-Funktion auswählen (häufig SHA256):
Willkommen in der Matrix.
Bingo, der Zahlenwert 14d0247dc47a564d9fd70f7e895915e8daa5c8a455549f2b559d5a42cbf0653c entspricht dem Feld em an Pinterest gesendet.
Beachten Sie Folgendes: Wenn der Werbetreibende Kundendaten direkt an Pinterest sendet, Dieser hier ist nicht so vorsichtig mit der E-Mail :
E-Mail: Wir unterstützen sowohl Hash (SHA256, SHA1, MD5) als auch Klartext-Kundendatenfelder.
Bestätigen Sie die Erstellung des Kontos und verabschieden Sie sich von Ihren persönlichen Daten
Ich fülle nun das Formular vollständig aus und klicke auf „Bestätigen“. Es kommt zu massiven Verlusten personenbezogener Daten:
Lassen Sie uns bereits bemerken unerlaubte Nutzung von Google Analytics (Wenn Guerlain weiterhin Google Analytics verwenden wollte, müsste es folgen diese Empfehlungen der CNIL).
Indem wir die an Google Analytics gesendeten Parameter vergrößern, notieren wir denselben Hash Ihrer E-Mail (SHA256), der über den Parameter gesendet wurde cd11 (eine „kundenspezifische“ Dimension, die Guerlain sich daher die Freiheit nahm, speziell für diesen Anlass zu kreieren). Es stellt sich heraus, dass Die Praxis wird von Google Analytics verboten (wenn Google nur seine Regeln durchsetzen würde):
Zum Schutz der Privatsphäre der Nutzer verbieten die Richtlinien von Google die Übermittlung von Daten, die wir als personenbezogene Daten verwenden oder als solche betrachten könnten.
Man könnte argumentieren: Dies ist ein Hash meiner E-Mail, nicht meiner einfachen E-Mail (als ob Google Ihre E-Mail und daher ihren Hash nicht bereits kennt). Außer dass Google sich darum gekümmert hatverbieten auch das Senden von Hashes an Google Analytics :
Guerlain verstößt gegen die Google Analytics-Regeln, um Sie in aller Ruhe besser überwachen zu können.
Bei Guerlain ist die Überwachung zwar amerikanisch, aber auch chinesisch, da der gleiche Hash Ihrer E-Mail an TikTok durchgesickert ist (Xi Jinpings magische Fernbedienung):
TikTok ist transparenter, heißt die Variable email.
Diese Flucht ist dank erlaubt TikToks „Advanced Matching“-Funktion :
Natürlich, Auf der privaten Seite wird alles untersucht, Fingerabdrücke werden erfasst, wenn keine Übereinstimmung vorliegt :
„Privacy Safe“, von TikTok.
Der SHA256-Hash, wo der Zauberstab des Datenschutzes liegt:
TikTok ist nicht in der Lage, Kunden zu identifizieren, die keine TikTok-Benutzer sind, außer dass TikTok die Adressbücher seiner Benutzer saugt …
Und für faule Werbetreibende: TikTok bietet die Option „Automatic Advanced Matching“ an, was es ihm ermöglicht, die verschiedenen Felder der Formulare selbstständig zu scannen, um beispielsweise Ihre E-Mail-Adresse und Telefonnummer abzurufen:
Werbetreibende freuen sich, die TikTok-Spyware kann die persönlichen Daten Ihrer Kunden automatisch wiederherstellen!
Beachten Sie auch hier, dass TikTok nichts erfunden hat, sondern einfach Facebook kopieren.
Schauen Sie sich eine neue Seite an, Ihre E-Mail ist an Facebook durchgesickert
Es war überraschend, dass Guerlain Ihre E-Mail nicht an Facebook weitergab. Wenn Sie eine zusätzliche Seite anzeigen, werden Sie feststellen, dass der Aufruf an Facebook eine Variable enthält udff[em], dieses enthält den SHA256-Hash Ihrer E-Mail:
em, die kleine Notiz für Ihre E-Mail.
Erweitertes Matching ermöglicht es Werbetreibenden eine Vielzahl personenbezogener Daten preisgeben :
Keine Sorge, Facebook wird dich finden.
Facebook Advanced Matching ist bei weitem nicht das einzige Facebook-Tool, das Werbetreibenden zur Verfügung steht, um Sie zu überwachen. Sie werden einige finden andere in diesem Thread :
Pinterest, Google, TikTok und Facebook erfassen Ihr gesamtes Surfverhalten auf der Guerlain-Website, verknüpft mit einer dauerhaften Kennung (Ihrer E-Mail-Adresse). Dies ist jedoch in der LVMH-Galaxie keine Ausnahme, schauen wir uns zum Beispiel Givenchy an.
Erstellung eines Givenchy-Kontos und Verlust personenbezogener Daten
Wenn Sie ein Konto erstellen Givenchy, Sie werden auch Lecks anhand Ihrer E-Mail (SHA256-Hash immer) bemerken, jetzt zu Snapchat über die Variable u_hems :
Ein weiteres amerikanisches soziales Netzwerk, warum sollte man sich das entgehen lassen?
Wie Sie sehen, erleichtert Snapchat auch Werbetreibenden das Leben lesen Sie in diesem Thread :
Erstellung eines Givenchy Beauty-Kontos und Verlust personenbezogener Daten
Ich habe kaum angefangen Erstellen eines Givenchy Beauty-Kontos (anders als bei Givenchy), bei dem ich sehe, dass seltsame Anfragen über Charles Proxy eingehen:
Die Variable browser-info ist sehr detailliert und ermöglicht Yandex in Kombination mit Ihrer IP-Adresse ein sehr feines Fingerprinting. Die Variable pointer-click Ruft die Pixelposition aller Ihrer Klicks ab. Freut es mich also, dass Ihr Verhalten nach Russland durchsickert?
Aber es ist noch nicht vorbei, das französische Unternehmen ContentSquare scheint viele Informationen darüber abzurufen, was Sie eingeben (Keylogger ?!):
Bei jeder Bewegung, die du machst, bei jedem Schritt, den du machst, werde ich dich beobachten.
Nachdem Sie Vor- und Nachname eingegeben haben, klicken Sie auf „Weiter“:
Überprüfen Sie bei Charles die gesendeten Anfragen, den Hash Ihres Vornamens (udff[fn]) und Ihr Name (udff[ln]) sickern bereits an Facebook durch:
Wenn Sie im nächsten Schritt Ihre E-Mail-Adresse eingeben, wird der Hash dieser E-Mail (udff[em]) Live-Leak auf Facebook (ohne auch nur auf „Weiter“ zu klicken):
Beachten Sie die Lecks bei Google Analytics und Doubleclick, während ContentSquare weiterhin Informationen sammelt, während Sie Ihr Passwort erstellen ...
Beachten Sie, dass ich zufällig nur drei Websites der LVMH-Gruppe getestet habe. Es ist wahrscheinlich, dass diese Überwachung großer Werbeplattformen anhand persistenter Daten wie Ihrer E-Mail bei LVMH weit verbreitet sein wird.
Alle großen Werbeplattformen verfügen über einen „Matching“-Service
Wir konnten die Nutzung des Matching-Dienstes von sehen Facebook, TikTok, Pinterest oder Snapchat von Websites der LVMH-Gruppe. Offensichtlich gibt es über den Google Analytics-Dienst hinaus auch Google bleibt nicht außen vor :
Elon Musks neuestes Spielzeug, Auch Twitter bietet seinen „Matching“-Dienst an :
Die Standorte der LVMH-Gruppe stellen bei weitem keine Ausnahme dar, wie dies beweist die Leaky Forms-Studie. Eine große Anzahl von Werbetreibenden verlässt sich bereits auf diese invasiven Methoden, und mit dem bevorstehenden Verschwinden von Drittanbieter-Cookies in Chrome (wenn Google es will) wird dieser Tracking-Modus zum Standard.
So schützen Sie sich
Wenn Sie diese Art von Praxis nicht genehmigen (Hallo CNIL), müssen Sie sich individuell schützen. Da Werbeblocker wirkungslos sind (es sei denn, Sie blockieren alle Aufrufe an Google und soziale Netzwerke), sind Browserschutzmaßnahmen wirkungslos (Tracking basiert auf persistenten Daten, nicht auf Cookies). Eine Möglichkeit besteht darin, für jeden von Ihnen genutzten Dienst einen anderen E-Mail-Alias zu verwenden. Ich kenne diese 4 Dienste, aber Sie werden zweifellos noch andere im Internet finden:
- SimpleLogin, kürzlich von ProtonMail übernommen, was ein gutes Zeichen für eine interessante Integration ist.
- Firefox-Relay, direkt in Ihrem Lieblingsbrowser.
- DuckDuckGo E-Mail-Schutz, mit der DuckDuckGo-Erweiterung, für guten Schutz im Web.
- Verstecke meine E-Mail-Adresse wenn Sie bei Apple sind, inklusive Safari-Integration.
Beachten Sie, dass es Einschränkungen gibt: E-Mail-Aliase schützen Sie nicht, wenn Facebook (oder andere) den „Abgleich“ über Ihre Telefonnummer, Ihren Vor- und Nachnamen oder Ihre Postanschrift durchführen.