Google, Mozilla und Opera haben eine Browsererweiterung namens „Stylish“ entfernt. Jene wurde immerhin über zwei Mio. mal heruntergeladen. Wie es aber leider manchmal so ist, wenn man Software von unabhängigen Entwicklern bezieht – leider haben nicht alle nur Gutes im Sinn. So erfasste Stylish jede Website, welche die jeweiligen Nutzer aufriefen. Jene Informationen leitete die Browsererweiterung dann an einen Remote-Server weiter.
Den Nutzern half Stylish, der Name deutet es an, die Oberfläche von angezeigten Websites anzupassen. Etwa ließen sich damit in sozialen Netzwerken wie Facebook und Twitter aus den News-Feeds Inhalte herausfiltern oder auch Themes verändern. Leider war der Preis für diese Komfortfunktionen hoch: Im Hintergrund erfasste Stylish alle Browsing-Aktivitäten des jeweiligen Nutzers und schickte sie mit einem individuellen Nutzer-Indikator an externe Server. Damit wäre es auch möglich Korrelationen zwischen dem Nutzungsverhalten und etwa E-Mail-Adressen herzustellen. Begonnen hat Stylish damit wohl seit Anfang 2018.
Tatsächlich wies Stylish in seinen Angaben zum Datenschutz aus, dass man die Brwosing-History erfasse. Allerdings ging man bisher davon aus, dass das zumindest anonym vonstatten gehe. Genau das war aber offenbar nicht gerade gewährleistet. Offen zugegeben wurde seitens der Stylish-Inhaber zumindest ab Mai 2018, dass die Erweiterung Web-Server-Log-Informationen bzw. Web-Requests, verwendete URLs, Internet-Protokoll-Adressen (immerhin trimmed / hashed), HTTP-Referrer und User-Agent-Daten speicherte.
Der Sicherheitsforscher Robert Heaton hat mit dem Tool Burp Suite einmal genau nachverfolgt, was Stylish eigentlich treibt. Laut Heaton leite Stylish große Datenmengen an die Website Userstyles.org weiter. Jene steht unter der Kontroller der neuen Besitzer der Erweiterung. Die Daten enthalten laut Heaton jede URL, welche der jeweilie User aufruft, Google-Suchergebnisse und als Standardeinstellung, immerhin veränderbar durch den jeweiligen Nutzer, auch eine individuelle Identifizierungsmarke.
Erfasst hat Stylish jene Daten in Chrome seit Januar und unter Firefox seit März. Auch wenn Stylish darauf immerhin seit einiger Zeit in seinen Datenschutzbestimmungen hinweist, dürfte dieser Faktor sicherlich dem Gros der Nutzer entgangen sein. Schließlich wurden auch Google, Mozilla und Opera erst jetzt hellhörig.
Die Inhaber von Stylish haben sich zu der ganzen Angelegenheit nicht geäußert. Letzten Endes ist das abermals eine Lektion darin, dass man sich immer genauer damit befassen sollte, was man sich so auf den Rechner holt. Gerade dann, wenn etwas augenscheinlich gratis ist, zahlt man des Öfteren auf andere Weise einen Preis.