Boursorama Banque gibt Ihre Anmeldedaten preis

EDIT 11. August 2020: Boursorama gibt Ihre Anmeldedaten nicht mehr an AT Internet und Smart AdServer weiter.

Boursorama CNAME-Korrektur

An AT Internet gesendete Daten laufen jetzt über die Domain c0012.brsimg.com, an Smart AdServer gesendete Daten laufen über mehrere Domains, darunter ww16.smartadserver.com. Somit haben AT Internet und Smart AdServer keinen Zugriff mehr auf die Authentifizierungscookies von Boursorama (Domain boursorama.com).

Die Korrektur erfolgte vor dem 4. August, siehe diese Antwort von Boursorama. Beachten Sie auch die Transparenz von Boursorama in dieser späten Antwort. Außerdem respektiert Boursorama jetzt Ihre Entscheidung, wenn Sie sich weigern, im Web getrackt zu werden (mit Ausnahme von AT Internet, für das eine Ausnahme der CNIL gilt). Es ist nicht alles perfekt: Boursorama nimmt immer noch eine feindselige Haltung gegenüber Adblocker-Nutzern ein und erlaubt es Ihnen nicht, das Tracking in seiner iOS-App zu verweigern, aber das ist bereits ein großer Fortschritt. E-Mails von Kunden, Artikel und Tweets (das CNAME-Problem bei Boursorama war bereits im November 2019 bekannt) haben zweifellos dazu beigetragen, Boursorama zum Handeln zu bewegen.

Boursorama verfolgt Sie im Kundenbereich seiner Website

Boursorama betreibt mit Boursorama Banque eine sehr beliebte und effiziente Onlinebank. Diese hat Ende 2019 die Marke von 2 Millionen Kunden überschritten. Als Kunde wollte ich prüfen, ob die Website von Boursorama Banque meine personenbezogenen Daten preisgibt; Sie können dasselbe tun, indem Sie diese Schritte befolgen:

Deaktivieren Sie Ihren Adblocker.
Löschen Sie Cookies in Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen).
Öffnen Sie die Chrome-Konsole (⌘+Wahl+J auf dem Mac, Strg, Umschalt und J auf dem PC), Registerkarte „Network“, oder starten Sie Charles Proxy.
Rufen Sie dann die Anmeldeseite Ihres Boursorama-Banque-Kundenkontos auf und melden Sie sich an.

Überraschung: Boursorama Banque trackt Sie tatsächlich im Kundenbereich:

Boursorama – Kundenbereich

Hier sind die Unternehmen, die Ihre personenbezogenen Daten erfassen:

AT Internet: über c0011.boursorama.com (wir kommen später auf diese Subdomain zurück, die auf den ersten Blick unbedeutend erscheint), ein alteingesessenes französisches Analytics-Unternehmen, früher Xiti genannt, das Ihr gesamtes Surfverhalten sowie die Eigenschaften Ihres Geräts erfasst. Das Analytics-Tool ermöglicht es Boursorama, die Nutzerpfade zu analysieren und das Erlebnis seiner Website zu verbessern.
Smart AdServer: französisches Unternehmen, das einen Publisher-Ad-Server und eine Lösung zur Monetarisierung von Werbeinventar (SSP) anbietet. Was bringt es, eine Werbelösung in einem Kundenbereich ohne Werbung aufzurufen?
Rubicon: Lösung zur Monetarisierung von Werbeinventar (SSP), kürzlich mit Telaria zu Magnite fusioniert. Auch hier versteht man nicht recht, warum Boursorama eine Werbelösung aufruft.
Commanders Act: über trustcommander.net, ehemals TagCommander, ein französisches Unternehmen, das mehrere Produkte anbietet, darunter in der Vergangenheit einen „Tag Manager“ (ermöglicht das Auslösen von Marketing-Tags, ohne Entwickler hinzuziehen zu müssen, ein echtes „Trojanisches Pferd“ für Marketingteams), eine „Customer Data Platform“ (zentralisiert Ihre personenbezogenen Daten) und eine „Consent Management Platform“ (Lösung zur Einholung von Einwilligungen).

AT Internet und Smart AdServer können sich bei Ihrem Boursorama-Banque-Konto anmelden

Die Einbindung der AT-Internet-Tracker ist in den von Ihrem Rechner gesendeten Anfragen nicht direkt sichtbar. Man sieht Anfragen an c0011.boursorama.com, aber man muss tiefer graben, um zu erkennen, dass diese Subdomain nicht von Boursorama verwaltet wird: Sie wurde von Boursorama an AT Internet delegiert. Wie? Über die Registrierung eines CNAME (eines Alias), der auf eine von AT Internet verwaltete Domain verweist. Den CNAME-Eintrag können Sie zum Beispiel auf dieser Seite überprüfen:

delegation boursorama at internet cname

Und überprüfen Sie anschließend den Inhaber der Domain at-o.net auf dieser Seite:

AT Internet verbirgt sich also bei Boursorama: eine unauffällige Boursorama-Subdomain (c0011.boursorama.com), die aber auf eine obskure Domain verweist (at-o.net). AT Internet versteckt sich dann im WHOIS-Register hinter AWS-Domains (nur der CNAME-Eintrag erlaubt es, bis zur Quelle zurückzuverfolgen):

Whois AT

Diese verborgene Präsenz von AT Internet (ehemals Xiti) bei Boursorama Banque war dem hervorragenden Aeris bereits im November 2019 aufgefallen (Boursorama hatte also immer noch nicht reagiert):

Warum bietet AT Internet diese Option an und warum wird sie von Boursorama übernommen? Liest man die Dokumentation von AT Internet zur „benutzerdefinierten Domain“ (CNAME), ist das Ziel einfach: den Schutz der Browser und der Adblocker zu umgehen:

Um eine Datenerfassung unter den besten Bedingungen zu gewährleisten, bieten wir den Versand von Hits an unsere Server über einen CNAME von einer Ihrer Subdomains an. Durch die Verwendung einer benutzerdefinierten Domain behalten Sie Ihre Hits, und unter Wahrung Ihrer SLAs können Sie sogar von der besten Cookie-Konfiguration (ITP) profitieren.

Unter „Sie behalten Ihre Hits“ ist zu verstehen, dass die Adblocker nicht zwangsläufig auf dem neuesten Stand sind und die Anfragen wahrscheinlich nicht blockieren (Pech für Boursorama, uBlock Origin blockiert c0011.boursorama.com sehr wohl).

Unter „Sie können sogar von der besten Cookie-Konfiguration (ITP) profitieren“ ist zu verstehen, dass die Cookies von AT Internet, da sie mit der Domain der Website verknüpft sind (First Party), nicht von Browsermechanismen zum Schutz Ihrer Privatsphäre blockiert werden, wie etwa Safari Intelligent Tracking Prevention (ITP). AT Internet geht in seinem Artikel auf dieses Merkmal ein:

Browser wie Safari verlangen inzwischen, dass Cookies First Party (von der aktuellen Domain gesetzt), serverseitig (von einem Server gesetzt, nicht per JavaScript) und sicher (https) sind. Um diesen Anforderungen gerecht zu werden, stellen wir eine Konfiguration bereit, die potenzielle Einschränkungen oder Blockaden vermeidet, die sich auf Ihre Analysen auswirken.

AT Internet erwähnt die mit der Verwendung von CNAME verbundenen Sicherheitsrisiken nicht. Und dabei sind sie erheblich, wie wir bereits im Fall von Criteo gesehen haben und wie Aeris es zuvor erklärt hatte. Wenn die Partner-Website keine Vorkehrungen getroffen hat, kann AT Internet alle gesetzten Cookies lesen und nicht nur die von AT Internet erstellten. Schauen wir uns also die Cookies an, die Ihr Browser über die Domain c0011.boursorama.com an AT Internet sendet:

Cookies Boursorama

Somit hat AT Internet Zugriff auf alle Cookies, die unter dem Domainnamen boursorama.com gesetzt werden, darunter die Cookies, die Sie angemeldet halten … Prüfen wir also, ob jemand, der den Wert dieser Cookies abgreift, Ihr Boursorama-Banque-Konto übernehmen kann:

Deaktivieren Sie Ihren Adblocker.
Starten Sie Charles Proxy und melden Sie sich dann über Chrome bei Ihrem Boursorama-Banque-Kundenkonto an.
Greifen Sie über Charles Proxy die an c0011.boursorama.com gesendeten Cookies ab.
Löschen Sie sämtliche Browserdaten in Chrome.
Rufen Sie https://clients.boursorama.com/ auf; Sie sind nun tatsächlich von Boursorama Banque abgemeldet.
Verwenden Sie die Chrome-Erweiterung EditThisCookie, um Ihre verschiedenen Boursorama-Cookies anzulegen oder zu aktualisieren.
Aktualisieren Sie die Seite – und Sie sind angemeldet!

edition cookies boursorama Hier müssen Sie die verschiedenen Cookies einstellen

Ihre Sitzung läuft nach einer gewissen Zeit ab, AT Internet müsste also schnell sein, um sie auszunutzen. Dennoch bedeutet das, dass ein böswilliger Mitarbeiter von AT Internet sich beim Boursorama-Banque-Konto einer beliebigen Person anmelden könnte. Natürlich eine theoretische Bedrohung: Dieser Mitarbeiter müsste über die technischen Fähigkeiten und die nötige Berechtigungsstufe verfügen, um die Serverprotokolle auszuwerten. Es bleibt jedoch dabei: die Bankdaten von mehr als 2 Millionen Franzosen sind gefährdet.

Dieselbe Sicherheitslücke betrifft Smart AdServer über die Domain ads.boursorama.com, die für Adblocker bereits etwas „lesbarer“ ist:

CNAME Smart AdServer

Smart AdServer erfasst somit ebenfalls die Cookies von boursorama.com, sodass sich ein böswilliger Mitarbeiter von Smart AdServer beim Boursorama-Banque-Konto einer beliebigen Person anmelden kann:

Cookies Smart AdServer

Werfen wir einen Blick in die Cookie-Richtlinie von Boursorama – dort findet sich dieses Schmankerl:

Cookie-Richtlinie Boursorama

Wie wir gerade gesehen haben, hat Boursorama genau eine Technik eingerichtet, die es Dritten (AT Internet und Smart AdServer) ermöglicht, die Cookies des Ausstellers Boursorama zu lesen.

Lehnen Sie das Tracking ab – Boursorama ignoriert es

Was passiert, wenn Sie sich die Mühe machen, Boursorama mitzuteilen, dass Sie nicht getrackt werden möchten?

banniere consentement boursorama

Boursorama betrachtet das Fortsetzen Ihres Surfens als Einwilligung, wie es die CNIL in ihrer allzu großen Schwäche immer noch zulässt. Klicken wir trotzdem auf „Cookies einstellen“:

finalites Boursorama

Ja, alle Zwecke sind standardmäßig angekreuzt, ein weiterer Verstoß gegen die DSGVO. Deaktivieren wir also die verschiedenen Zwecke (Werbung und Statistik). Liest man zum Beispiel den Zweck zur Statistik aufmerksam durch:

Das Sammeln von Informationen über Ihre Nutzung der Inhalte und die Verknüpfung dieser Informationen mit den zuvor gesammelten, um zu bewerten, zu verstehen und darüber Bericht zu erstatten, wie Sie den Dienst nutzen. Dies umfasst nicht die Personalisierung, also das Sammeln von Informationen über Ihre Nutzung dieses Dienstes, um Ihnen später personalisierte Inhalte und/oder Werbung in anderen Kontexten zuzuspielen, das heißt auf anderen Diensten wie Websites oder Anwendungen

Beachten Sie, dass dieses Einwilligungsbanner von der CMP (Consent Management Platform) von Commanders Act stammt, dem schlecht benannten TrustCommander. Wenn Websites Ihnen das Leben mit diesen unerträglichen Bannern so schwer machen, dass Sie ein Dutzend Mal klicken müssen, um das Tracking abzulehnen (statt einer einfachen Ja/Nein-Wahl), dann liegt das auch daran, dass Softwarehersteller es zulassen.

Man könnte nun erwarten, das AT-Internet-Tracking nicht mehr zu sehen, oder? Fehlanzeige: Boursorama berücksichtigt Ihre Präferenzen nicht, wie Charles zeigt, sobald Sie sich erneut bei Ihrem Kundenbereich anmelden:

Cookies Boursorama opt-out

Boursorama gibt Ihre personenbezogenen Daten weiterhin an Rubicon, AT Internet und Smart AdServer preis. Bonus: Sie ermöglichen AT Internet und Smart AdServer weiterhin den Zugriff auf Ihr Boursorama-Bankkonto, da sämtliche mit der Domain boursorama.com verknüpften Cookies durchsickern.

Boursorama ist feindselig gegenüber Adblocker-Nutzern

Sie könnten sich nun denken: Zum Glück verwende ich einen Adblocker, der mich vor dem allgegenwärtigen Tracking sowie vor Sicherheitslücken wie dieser schützt (und im Fall von uBlock Origin stimmt das auch, er blockiert c0011.boursorama.com und ads.boursorama.com tatsächlich). Boursorama möchte allerdings nicht, dass Sie sich schützen. Wenn Sie Ihren Adblocker aktivieren, werden Sie mit dieser Meldung empfangen:

Boursorama Banque

Boursorama teilt Ihnen mit, dass die Verwendung eines Adblockers das reibungslose Surfen im Kundenbereich erheblich stören kann: Das ist falsch. Aber Boursorama geht noch weiter:

Boursorama empfiehlt Ihnen, Ihren Adblocker zu deaktivieren, damit Sie ohne jedes Risiko surfen und Ihre Konten einsehen können!

Genießen Sie die Ironie: Gerade der Adblocker schützt Sie vor der von Boursorama eingeführten Sicherheitslücke! Beachten Sie, dass Boursorama dabei nicht stehen bleibt: In der Online-Hilfe des Kundenbereichs, Rubrik „Meinen Kundenbereich schützen“, haben sie sogar einen Artikel verfasst, der erklärt, wie man Adblock deaktiviert!

Ich rate Ihnen daher, im Web einen Adblocker wie uBlock Origin in Kombination mit Firefox zu verwenden (oder andere datenschutzfreundliche Browser wie Brave und Safari).

Nutzen Sie die iPhone-App? Auch Boursorama Banque gibt Ihre personenbezogenen Daten preis

Um das Tracking nachzuvollziehen, das Boursorama Banque in seiner iPhone-App eingerichtet hat, bin ich folgendermaßen vorgegangen:

Schließen der verschiedenen Apps im Hintergrund.
Starten der Charles-Proxy-Anwendung und Aktivieren der Aufzeichnung.
Starten der Anwendung Boursorama Banque und anschließendes Navigieren innerhalb der App.
Export der Protokolle meiner Charles-Proxy-Sitzung auf meinen Rechner.

Boursorama Banque iOS

Die App ist genauso gesprächig wie die Website, sie gibt Ihre personenbezogenen Daten an die folgenden Unternehmen weiter:

Google: über das Entwickler-Toolkit Firebase.
AT Internet: über xiti.com (Xiti ist der frühere Name von AT Internet); Boursorama gibt Ihr Surfverhalten preis, diesmal jedoch ohne Durchsickern der boursorama.com-Cookies.
Smart AdServer: keine Werbung in der Anwendung, man fragt sich also weiterhin, warum Boursorama Smart AdServer aufruft.

„Zum Glück“ sickern hier trotz der Verwendung der Domain ads.boursorama.com keine Boursorama-Daten zu Smart AdServer durch (nur die Cookies von Smart AdServer). Ihre Sitzungsinformationen in der iPhone-Anwendung werden nicht in Cookies gespeichert.

Wie können Sie sich vor dem allgegenwärtigen Tracking und vor Sicherheitslücken in Apps schützen? Unter iOS können Sie Apps wie DNSCloak, Adguard oder NextDNS verwenden.

Boursorama verstößt gegen seine Richtlinie zum Schutz der Kundendaten

Liest man die Datenschutzrichtlinie für die Kunden von Boursorama Banque, fällt die Verpflichtung zur Sicherung und zum Schutz Ihrer personenbezogenen Daten entschieden aus; das Dokument beginnt mit:

Boursorama legt Wert darauf, mit seinen Kunden eine starke und dauerhafte Beziehung aufzubauen, die auf Vertrauen und gegenseitigem Interesse beruht. Als dem Bankgeheimnis unterliegendes Kreditinstitut gewährleistet Boursorama die Sicherheit und Vertraulichkeit der ihm anvertrauten Informationen. Daher ist Boursorama entschlossen, Ihre personenbezogenen Daten und Ihre Privatsphäre zu schützen.

Das Vertrauen ist offensichtlich gebrochen: Boursorama gewährleistet die Sicherheit und Vertraulichkeit der ihm anvertrauten Informationen nicht. Boursorama fährt anschließend mit diesem Absatz fort:

Boursorama engagement

Boursorama ermöglicht Dritten (AT Internet und Smart AdServer) den Zugriff auf mein Kundenkonto, das beispielsweise meine Bankgeschäfte enthält. In Abschnitt 3, Wer sind die Empfänger der personenbezogenen Daten, teilt Boursorama mit, dass es Ihre Daten an Behörden, an Finanzinstitute und an seine technischen Dienstleister weitergeben kann.

Keinerlei Angaben zu AT Internet oder Smart AdServer – fallen sie unter die Rubrik „technische Dienstleister“? Falls ja, so äußert sich Boursorama zu den „technischen Dienstleistern“:

Boursorama prestataires

Meine Anmeldedaten zählen selbstverständlich nicht zu den Informationen, die für die Reichweitenmessung oder die Auslieferung von Werbung unbedingt notwendig sind. Abschließend hier noch, wie sich Boursorama zur Sicherung Ihrer Daten äußert:

Boursorama securite

Meine Anmeldedaten werden von unbefugten Dritten abgefangen: AT Internet und Smart AdServer.

Auf welche Veränderungen können wir hoffen?

Auch wenn ich bei einer Onlinebank wie Boursorama Banque nicht mit einer solchen Sicherheitslücke gerechnet hatte, ist das Problem leider weit verbreitet:

Criteo hat es geschafft, mehr als 10.000 Websites davon zu überzeugen, einen CNAME zu installieren.
Eine vollständige Liste ist schwer zu bekommen, aber auch andere Analytics- oder Werbelösungen bieten die Installation eines CNAME an: AT Internet und Smart AdServer, wie wir gesehen haben, aber auch Eulerian, Keyade, Adobe, ContentSquare oder Commanders Act (ja, das Unternehmen, das die von Boursorama verwendete Einwilligungslösung „TrustCommander“ anbietet und dessen Motto lautet: „Schaffen Sie Vertrauen, indem Sie auf die Karte der Transparenz setzen“).

Adobe CNAME Sie dachten, die CNAME-Technik sei auf obskure Marketingunternehmen „beschränkt“? Fehlanzeige: Adobe bietet sie ebenfalls an.

Die „Vorteile“, mit denen diese Tools werben: Adblocker und Browserschutz umgehen, um Sie immer besser zu tracken, selbst wenn Sie das nicht möchten. Selbstverständlich sollten diese Tools die CNAME-Option nicht mehr anbieten; als Technologieanbieter tragen sie eine schwere Verantwortung. Das Gefühl der Straflosigkeit hilft dabei nicht: Wozu etwas ändern, wenn die CNIL nicht sanktioniert?

Aber auch die Websites tragen eine große Verantwortung: In ihrem Bestreben, Sie immer besser zu überwachen und Ihre Daten besser zu monetarisieren, vergessen sie die Sicherheit Ihrer personenbezogenen Daten. Auch hier macht sich das Fehlen einer echten Aufsichtsbehörde bemerkbar. Boursorama sollte daher:

die CNAMEs entfernen und die „Standard“-Versionen der Tracker von AT Internet und Smart AdServer verwenden.
die Werbetracker Smart AdServer und Rubicon aus seinem Kundenbereich und seiner Anwendung entfernen.
einen echten Mechanismus zur Einholung der Einwilligung (Opt-in) anbieten und ihn respektieren.
die feindselige Haltung gegenüber Adblocker-Nutzern beenden.

Boursorama Brad Pitt

Jetzt sind Sie am Zug, Boursorama: Reagieren Sie schnell und schützen Sie die Bankdaten Ihrer Kunden besser. So verdienen Sie sich das Recht, weiterempfohlen zu werden.