Thought Leadership
Ein eigentlich harmloses Taboola Pixel auf Banken-Websites fungiert als Brücke, um eingeloggte Nutzer unbemerkt an Tracking-Schnittstellen des Online Händlers Temu weiterzuleiten. Herkömmliche Sicherheitsmechanismen wie Firewalls und Inhaltsrichtlinien erweisen sich gegen diesen First-Hop-Bias als wirkungslos.
Die digitale Infrastruktur europäischer Finanzinstitute galt lange Zeit als eine der am besten gesicherten Umgebungen im Netz. Doch ein Prüfbericht des Sicherheitsunternehmens Reflectiz zeigt nun, dass selbst in hochgradig geschützten Banking-Bereichen ein unsichtbarer Datenabfluss stattfinden kann. Im Zentrum der Untersuchung steht ein sogenanntes Drittanbieter-Pixel des Werbedienstleisters Taboola. Während die Banken das Skript für Marketingzwecke genehmigten, nutzte das System eine technische Grauzone, um Nutzerdaten ohne Einverständnis an den chinesischen E-Commerce-Riesen Temu weiterzuleiten, berichtete The Hacker News.
Taboola steht auf der weißen Liste, führt aber zu Temu weiter
Der Prozess beginnt mit einem Vorgang, den die Banken selbst autorisiert haben. In den Quellcode der Webseite, auch innerhalb der Bereiche für angemeldete Kunden, wurde ein Synchronisations-Skript von Taboola eingebunden. Wenn ein Nutzer seine Kontostände prüft oder Überweisungen tätigt, sendet der Browser im Hintergrund eine Anfrage an die Domain sync.taboola.com. Dieser erste Schritt wird von fast allen Sicherheitssystemen als legitim eingestuft, da Taboola ein bekannter und oft auf eine weiße Liste gesetzter Partner ist.
Die eigentliche Gefahr offenbart sich jedoch erst im zweiten Schritt der Kommunikation. Anstatt die Anfrage einfach zu verarbeiten, antwortet der Server von Taboola mit einer sogenannten 302-Weiterleitung. Diese weist den Browser des Nutzers an, sofort eine neue Verbindung zu einer API-Schnittstelle von Temu aufzubauen. In der forensischen Untersuchung von Reflectiz wurde dokumentiert, dass diese Kette vollautomatisch und ohne jede sichtbare Interaktion für den Nutzer abläuft. Der Browser folgt der Anweisung blind, da er der ursprünglichen Quelle der Nachricht bereits das Vertrauen ausgesprochen hat.
Das technische Einfallstor: Access-Control-Allow-Credentials
Was diese Umleitung so brisant macht, ist ein spezifischer Header in der Antwort des Servers. Die Rede ist von der Anweisung „Access-Control-Allow-Credentials: true“. Dieser Befehl ist der entscheidende Hebel für den Datendiebstahl. Er weist den Browser an, bestehende Cookies in die domänenübergreifende Anfrage an Temu einzubeziehen.
Durch diesen Mechanismus erhält Temu die Möglichkeit, Tracking-Identifikatoren auf dem Gerät des Nutzers zu lesen oder neu zu setzen. Der Online Händler erfährt somit nicht nur, dass ein bestimmter Nutzer im Internet surft, sondern erhält die Information, dass dieser Nutzer gerade eine verifizierte Sitzung bei einer Bank unterhält. Temu verknüpft diese Information mit dem bereits existierenden Nutzerprofil der PDD Holdings. Für Werbetreibende ist ein Nutzer, der nachweislich über ein aktives Bankkonto verfügt, ein extrem wertvolles Ziel. Dass diese Profilbildung im Inneren einer geschützten Bankumgebung stattfindet, ist ein beispielloser Bruch der digitalen Privatsphäre.
Warum klassische Sicherheitslösungen blind sind
Der Bericht von Reflectiz benennt ein fundamentales Versagen moderner Sicherheitsstrategien, den sogenannten First-Hop-Bias. Die meisten Schutzwälle in der IT-Landschaft arbeiten nach einem statischen Prinzip. Sie prüfen, ob der Absender eines Skripts bekannt ist. Wenn die Content Security Policy (CSP) einer Bank Taboola als vertrauenswürdig auflistet, lässt der Browser die Verbindung passieren.
Eine Web Application Firewall (WAF) sieht in der Regel nur den Datenverkehr, der direkt zum Server der Bank führt. Sie hat keinen Einblick in die Umleitungen, die lokal im Browser des Nutzers stattfinden. Statische Code-Analysen wiederum scheitern daran, dass sie nur den Quellcode von Taboola lesen können. Das Ziel der 302-Umleitung wird jedoch erst zur Laufzeit dynamisch festgelegt. Das Vertrauen der Bank in Taboola wird somit transitiv auf Temu übertragen, ohne dass Temu jemals einer Sicherheitsprüfung unterzogen wurde.
Die rechtliche Lawine: DSGVO und PCI DSS
Die Konsequenzen für die betroffenen Finanzinstitute sind massiv. Nach Artikel 13 der Datenschutz-Grundverordnung (DSGVO) besteht eine strikte Informationspflicht gegenüber dem Nutzer. Da kein Kunde darüber aufgeklärt wurde, dass seine Banking-Aktivitäten zur Profilbildung bei einem chinesischen E-Commerce-Anbieter genutzt werden, liegt ein Transparenzfehler vor. Da die Daten zudem über Infrastrukturen geleitet werden, die sich in Ländern ohne angemessenes Datenschutzniveau befinden, ist der gesamte Transfer rechtlich nicht haltbar.
Besonders kritisch ist Artikel 24 der DSGVO. Er stellt klar, dass der Datenverantwortliche, in diesem Fall die Bank, für alle Verarbeitungen haftet, die auf seiner Website stattfinden. Die Ausrede, man habe nicht gewusst, was das Pixel des Partners im Hintergrund tut, wird vor den Aufsichtsbehörden keinen Bestand haben. Zusätzlich geraten die Banken in Konflikt mit dem Sicherheitsstandard PCI DSS. Die Anforderung 6.4.3 verlangt explizit, dass jedes Skript auf einer Zahlungsseite autorisiert sein muss. Eine Umleitung zu einem unbekannten Viertanbieter wie Temu hebelt diese Anforderung vollständig aus.
Dynamische Überwachung notwendig
Die wichtigste Erkenntnis aus dem Reflectiz-Bericht ist die Notwendigkeit, vom statischen Vertrauen zu einer dynamischen Überwachung überzugehen. Sicherheitsabteilungen dürfen sich nicht mehr auf einfache Listen von erlaubten Domains verlassen. Stattdessen müssen Werkzeuge zum Einsatz kommen, welche die tatsächliche Ausführung von Skripten im Browser in Echtzeit überwachen. Nur so lassen sich Umleitungsketten identifizieren, die über den ersten genehmigten Kontaktpunkt hinausgehen.
Das Risiko betrifft derzeit tausende Websites, auf denen das Taboola-Pixel aktiv ist. Für Finanzdienstleister ist es höchste Zeit, die browserseitigen Tracking-Ketten mit derselben Strenge zu prüfen wie die Integrationen im eigenen Backend. Der Fall zeigt eindrücklich: Die Bedrohung für die Datensouveränität kommt oft nicht durch ein gehacktes System, sondern durch die Vordertür der erlaubten Werbepartner.
