Immer aufdringlichere Werbeüberwachung
Trotz der Vorschriften (DSGVO, ePrivacy, CCPA), der Browser-Schutzmaßnahmen (Firefox, Safari oder Brave), der Werbeblocker im Browser (uBlock Origin) oder per DNS-Dienst (NextDNS, Adguard oder Pi-hole) hat die Werbeüberwachung nicht abgenommen. Sie hat mutiert, um Ihre Schutzmaßnahmen zu umgehen.
Der Beschleuniger dieser Entwicklung? Facebook natürlich, mit seinen „resilienten Signalen“, die es ihm erlauben, einen großen Teil der durch Ihre Online- und Offline-Aktivitäten erzeugten Daten abzusaugen. Da das Third-Party-Cookie als Überwachungsvektor allmählich verschwindet (Google Chrome ist die Ausnahme), mussten neue Überwachungsvektoren gefunden werden, die sich von den Nutzern nicht einfach zurücksetzen lassen. Inspiriert von Adtech-„Champions“ wie Criteo fordert Facebook die Werbetreibenden auf, ihm Ihre E-Mail-Adresse, Ihren Namen, Ihre Telefonnummer oder Ihre Postanschrift zu übermitteln: „resiliente Signale“.
Während viele Akteure der Adtech-Branche (Liveramp, Criteo) Sie schon seit Langem über Ihre E-Mail-Adresse identifizieren, ist das Phänomen bei den großen Werbeplattformen relativ neu. Die Studie „Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission“ verdeutlichte das Ausmaß der E-Mail-Lecks im Web – hin zu Adtech-Akteuren, aber auch zu Facebook und TikTok.
Wie könnte Ihre E-Mail-Adresse an diese großen Plattformen gelangen? Das werden wir mit Guerlain herausfinden, einem der Aushängeschilder des französischen Luxus und im Besitz der LVMH-Gruppe.
Noch bevor Sie ein Guerlain-Konto erstellen, gelangt der Hash Ihrer E-Mail bereits an Pinterest
Navigieren wir für diesen Test mit aktiviertem Werkzeug Charles Proxy auf der Guerlain-Website und klicken wir ausnahmsweise auf „Akzeptieren und schließen“, wenn das Einwilligungsbanner erscheint (zu Guerlains Gunsten sei gesagt, dass ich bei Ablehnung keine Lecks des E-Mail-Hashs bemerkt habe):
![]()
„Ihr Erlebnis verbessern und Ihnen Dienste und Mitteilungen anbieten, die auf Ihre Interessen zugeschnitten sind“ – eine scheinbar harmlose Botschaft.
Navigieren wir anschließend auf die Seite zur Erstellung eines Guerlain-Kontos und beginnen wir, das Formular auszufüllen:
![]()
Diese persönlichen Daten sollten doch nur Guerlain etwas angehen, oder?
Schauen wir uns an, was in Charles Proxy passiert, wenn Sie Ihre E-Mail-Adresse eingeben, noch bevor Sie sie bestätigen:
![]()
Beachten Sie eine seltsame Anfrage an das soziale Netzwerk Pinterest.
Der Parameter pd der Anfrage an Pinterest enthält einen weiteren Parameter em, der aus einer langen, scheinbar unentzifferbaren Zeichenfolge besteht. Die Pinterest-Dokumentation für Werbetreibende liefert die Antwort:
pd: Partnerdaten.
em: gehashter Wert der E-Mail-Adresse.
Guerlain gibt also einen Hash Ihrer E-Mail-Adresse an Pinterest weiter, noch bevor Sie die Erstellung Ihres Kontos bestätigt haben! Dieser Dienst heißt in Wirklichkeit „Enhanced Match“ (die Bedeutung von em), ich hatte im vergangenen Mai darüber berichtet:
![]()
Keine Cookies von Drittanbietern? Kein Problem!
Aber keine Sorge, Pinterest verwendet einen Hash Ihrer E-Mail-Adresse, und die Verbindung zu Pinterest ist sicher – Ihre Privatsphäre ist geschützt!
![]()
Websites erlauben, Ihre E-Mail preiszugeben, und behaupten, dies geschehe zum Schutz Ihrer Privatsphäre!
In Wirklichkeit zirkuliert die Zuordnung zwischen Ihrer E-Mail und ihrem Hash wahrscheinlich bereits weithin, und Unternehmen verdienen damit Geld.
Wie können Sie selbst überprüfen, ob Guerlain einen Hash Ihrer E-Mail an Pinterest weitergibt? Geben Sie Ihre E-Mail-Adresse auf dieser Seite ein und wählen Sie die richtige Hash-Funktion aus (häufig SHA256):
![]()
Willkommen in der Matrix.
Bingo, der gehashte Wert 14d0247dc47a564d9fd70f7e895915e8daa5c8a455549f2b559d5a42cbf0653c entspricht dem an Pinterest gesendeten Feld em.
Beachten Sie: Wenn der Werbetreibende Kundendaten direkt an Pinterest sendet, nimmt es dieses mit der E-Mail nicht so genau:
email: Wir unterstützen sowohl gehashte (SHA256, SHA1, MD5) als auch Kundendatenfelder im Klartext.
Bestätigen Sie die Erstellung des Kontos und verabschieden Sie sich von Ihren persönlichen Daten
Ich fülle nun das Formular fertig aus und klicke auf „Bestätigen“. Die Lecks personenbezogener Daten sind dabei massiv:
![]()
Halten wir zunächst die unzulässige Nutzung von Google Analytics fest (wenn Guerlain Google Analytics weiterhin nutzen wollte, müsste es diesen Empfehlungen der CNIL folgen).
Vergrößern wir die an Google Analytics gesendeten Parameter, stellen wir denselben Hash Ihrer E-Mail (SHA256) fest, übermittelt über den Parameter cd11 (eine „benutzerdefinierte“ Dimension, die Guerlain sich also eigens für diesen Anlass zu erstellen erlaubt hat). Es stellt sich heraus, dass diese Praxis von Google Analytics untersagt ist (würde Google seine Regeln doch nur durchsetzen):
Zum Schutz der Privatsphäre der Nutzer verbieten die Richtlinien von Google die Übermittlung von Daten, die wir als personenbezogene Daten verwenden oder als solche betrachten könnten.
Sie könnten einwenden: Es handelt sich um einen Hash meiner E-Mail, nicht um meine E-Mail im Klartext (als ob Google Ihre E-Mail und damit ihren Hash nicht ohnehin schon kennen würde). Nur hat Google sorgfältig auch das Senden von Hashes an Google Analytics untersagt:
![]()
Guerlain verstößt gegen die Regeln von Google Analytics, um Sie in aller Ruhe besser zu überwachen.
Bei Guerlain ist die Überwachung amerikanisch, aber auch chinesisch, denn derselbe Hash Ihrer E-Mail gelangt zu TikTok (die magische Fernbedienung von Xi Jinping):
![]()
TikTok ist transparenter, die Variable heißt email.
Dieses Leck wird durch die „Advanced Matching“-Funktion von TikTok ermöglicht:
![]()
Natürlich ist auf der Datenschutzseite alles durchdacht: Fingerprinting, falls keine Übereinstimmung vorliegt:
![]()
„Privacy Safe“, von TikTok.
Der SHA256-Hash, oder der Zauberstab des Datenschutzes:
![]()
TikTok ist nicht in der Lage, Kunden zu identifizieren, die keine TikTok-Nutzer sind – nur saugt TikTok die Adressbücher seiner Nutzer ab …
Und für faule Werbetreibende bietet TikTok die Option „Automatic Advanced Matching“ an, mit der es die verschiedenen Formularfelder selbstständig scannen kann, um daraus zum Beispiel Ihre E-Mail-Adresse und Ihre Telefonnummer abzugreifen:
![]()
Freuen Sie sich, liebe Werbetreibende: Die Spyware TikTok kann die personenbezogenen Daten Ihrer Kunden automatisch abgreifen!
Beachten Sie auch hier: TikTok hat nichts erfunden, sondern lediglich Facebook kopiert.
Rufen Sie eine neue Seite auf, und Ihre E-Mail gelangt zu Facebook
Es war erstaunlich, dass Guerlain Ihre E-Mail nicht an Facebook weitergab. Rufen Sie eine weitere Seite auf, sehen Sie, dass die Anfrage an Facebook eine Variable udff[em] enthält, die den SHA256-Hash Ihrer E-Mail trägt:
![]()
em, das Kürzel für Ihre E-Mail.
Das erweiterte Matching erlaubt es Werbetreibenden, eine breite Palette personenbezogener Daten preiszugeben:
![]()
Keine Sorge, Facebook wird Sie schon finden.
Facebook Advanced Matching ist bei Weitem nicht das einzige Facebook-Tool, das Werbetreibenden zur Überwachung zur Verfügung steht; weitere finden Sie in diesem Thread:
![]()
Pinterest, Google, TikTok und Facebook erfassen Ihr gesamtes Surfverhalten auf der Guerlain-Website, verknüpft mit einer dauerhaften Kennung (Ihrer E-Mail). Diese ist in der LVMH-Galaxie jedoch keine Ausnahme; schauen wir uns zum Beispiel Givenchy an.
Erstellung eines Givenchy-Kontos und Lecks personenbezogener Daten
Wenn Sie ein Givenchy-Konto erstellen, werden Sie ebenfalls Lecks auf Basis Ihrer E-Mail bemerken (nach wie vor SHA256-Hash), diesmal zu Snapchat über die Variable u_hems:
![]()
Ein weiteres amerikanisches soziales Netzwerk – warum darauf verzichten?
Auch Snapchat erleichtert Werbetreibenden das Leben, wie Sie in diesem Thread nachlesen können:
![]()
Erstellung eines Givenchy-Beauty-Kontos und Lecks personenbezogener Daten
Kaum hatte ich die Erstellung eines Givenchy-Beauty-Kontos (nicht zu verwechseln mit Givenchy) begonnen, sehe ich seltsame Anfragen über Charles Proxy laufen:
![]()
Die Variable browser-info ist sehr detailliert; kombiniert mit Ihrer IP-Adresse ermöglicht sie Yandex ein äußerst feinkörniges Fingerprinting. Die Variable pointer-click erfasst die Pixelposition all Ihrer Klicks. Na, freuen Sie sich, dass Ihr Verhalten nach Russland gelangt?
Aber damit nicht genug: Das französische Unternehmen ContentSquare scheint eine Menge Informationen darüber abzugreifen, was Sie tippen (Keylogger?!):
![]()
Every move you make, every step you take, I'll be watching you.
Nachdem Sie Vor- und Nachname eingegeben haben, klicken Sie auf „Weiter“:
![]()
Prüfen Sie in Charles die gesendeten Anfragen: Der Hash Ihres Vornamens (udff[fn]) und Ihres Nachnamens (udff[ln]) gelangen bereits zu Facebook:
![]()
Wenn Sie im nächsten Schritt Ihre E-Mail-Adresse eingeben, gelangt deren Hash (udff[em]) in Echtzeit zu Facebook (ohne auch nur auf „Weiter“ zu klicken):
![]()
Beachten Sie die Lecks zu Google Analytics und Doubleclick, während ContentSquare weiter Informationen abgreift, während Sie Ihr Passwort anlegen …
Beachten Sie, dass ich nur 3 Websites der LVMH-Gruppe getestet habe, zufällig ausgewählt. Wahrscheinlich ist diese Überwachung durch die großen Werbeplattformen über persistente Daten wie Ihre E-Mail bei LVMH weit verbreitet.
Alle großen Werbeplattformen haben einen „Matching“-Dienst
Wir konnten feststellen, dass Websites der LVMH-Gruppe den Matching-Dienst von Facebook, TikTok, Pinterest oder Snapchat nutzen. Über seinen Google-Analytics-Dienst hinaus steht natürlich auch Google nicht zurück:
![]()
Auch das neueste Spielzeug von Elon Musk, Twitter, bietet seinen „Matching“-Dienst an:
![]()
Die Websites der LVMH-Gruppe sind bei Weitem keine Ausnahme, wie die Studie Leaky Forms belegt. Eine große Zahl von Werbetreibenden stützt sich bereits auf diese invasiven Methoden, und mit dem bevorstehenden Verschwinden der Drittanbieter-Cookies in Chrome (sofern Google es denn will) wird diese Art des Trackings zum Standard.
So schützen Sie sich
Da solche Praktiken nicht geahndet werden (hallo CNIL), müssen Sie sich selbst schützen. Da Werbeblocker wirkungslos sind (außer Sie blockieren sämtliche Aufrufe an Google und an die sozialen Netzwerke) und die Browser-Schutzmaßnahmen wirkungslos sind (das Tracking beruht auf einem persistenten Datum, nicht auf Cookies), besteht eine Möglichkeit darin, für jeden genutzten Dienst einen anderen E-Mail-Alias zu verwenden. Ich kenne diese 4 Dienste, aber Sie werden im Netz sicher noch weitere finden:
- SimpleLogin, kürzlich von ProtonMail übernommen, was eine interessante Integration erwarten lässt.
- Firefox Relay, direkt aus Ihrem Lieblingsbrowser heraus.
- DuckDuckGo Email Protection, mit der DuckDuckGo-Erweiterung, für guten Schutz im Web.
- E-Mail-Adresse verbergen, falls Sie bei Apple sind, unter anderem mit einer Safari-Integration.
Beachten Sie, dass es Grenzen gibt: E-Mail-Aliase schützen Sie nicht, wenn Facebook (oder andere) das „Matching“ über Ihre Telefonnummer, Ihren Vor- und Nachnamen oder Ihre Postanschrift vornimmt.