Tage vor Weihnachten, auf dem Höhepunkt des Last-Minute-Shopping-Ansturms, erschien auf Amazon.com eine bedrohliche Nachricht. Kunden, die eine beliebte Browser-Erweiterung namens Honey verwendeten, wurden gewarnt, dass der Dienst, der verspricht, Preise und Rabattcodes zu verfolgen, ein "Sicherheitsrisiko" darstelle.
"Honey verfolgt Ihr privates Einkaufsverhalten, sammelt Daten wie Ihren Bestellverlauf und gespeicherte Artikel und kann Ihre Daten auf jeder von Ihnen besuchten Website lesen oder ändern", heißt es in der Nachricht. "Um Ihre Daten privat und sicher zu halten, deinstallieren Sie diese Erweiterung sofort." Es folgte ein Hyperlink, über den Benutzer lernen konnten, wie dies funktioniert. Screenshots der Warnung wurden von Honey-Nutzern wie Ryan Hutchins, einem Redakteur bei Politico, in Foren und sozialen Medien gepostet.
Honey ist keine obskure Browsererweiterung eines unbekannten Entwicklers. Das 2012 gegründete Startup mit Sitz in Los Angeles zählt mittlerweile über 17 Millionen Nutzer. Bei Zehntausenden von Online-Händlern, einschließlich Amazon, werden Rabattcodes gefunden, mit denen Käufer Geld sparen können. Im November einigte sich PayPal darauf, Honey für umwerfende 4 Milliarden US-Dollar zu kaufen - das größte Geschäft, das es je gab. Die Akquisition wurde in dieser Woche abgeschlossen.
Die Warnung von Amazon, die am 20. Dezember begann, verwirrte und verärgerte viele von Honigs Nutzern, von denen sich einige auf den offiziellen Social-Media-Kanälen beschwerten. Die Browsererweiterung ist seit ihrer Gründung mit Amazon kompatibel und trägt maßgeblich zur Attraktivität von Honey bei. Amazon ist einer der beliebtesten Einzelhändler der Welt und der Ort, an dem die meisten Amerikaner bei der Online-Suche nach einem Produkt beginnen.
Amazon lehnte es ab zu erklären, warum es beschlossen hatte, Honey im letzten Monat so plötzlich als Sicherheitsrisiko zu bezeichnen. "Unser Ziel ist es, Kunden vor Browsererweiterungen zu warnen, die persönliche Einkaufsdaten ohne ihr Wissen oder ihre Zustimmung sammeln", sagte ein Unternehmenssprecher in einer Erklärung. Sie lehnten es ab, weitere Fragen zur Grundlage dieser Behauptung zu beantworten.
Wenn Nutzer die Honey-Erweiterung in ihrem Browser installieren, stimmen sie den Nutzungsbedingungen sowie den Datenschutz- und Sicherheitsrichtlinien des Unternehmens zu. Während diese Art von Vereinbarungen für den Durchschnittsbürger dicht und schwer zu interpretieren sein können, scheint Honey keine Verbraucherinformationen ohne Nachfrage zu sammeln, wie Amazon WIRED andeutete. In den Datenschutzbestimmungen heißt es, dass "Ihr Suchmaschinenverlauf, Ihre E-Mails oder Ihr Surfen auf Websites, bei denen es sich nicht um Einzelhandelswebsites handelt, nicht protokolliert werden."
„Wir verwenden Daten nur in einer Weise, die Honey-Mitgliedern direkt zugute kommt - indem wir Menschen helfen, Geld und Zeit zu sparen - und in einer Weise, die sie erwarten würden. Unsere Verpflichtung ist in unserer Datenschutz- und Sicherheitsrichtlinie klar festgelegt “, sagte ein Sprecher von Honey gegenüber WIRED.
Honig sagt auch, dass es nicht die Einkaufsdaten verkauft, die es von den Kunden erlangt. Das Unternehmen verdient Geld, indem es einigen Einzelhändlern einen kleinen Prozentsatz der Verkäufe in Rechnung stellt, die mit den gefundenen Gutscheinen getätigt werden - Amazon war jedoch noch nie einer von ihnen.
Gibt es etwas, das wir Ihrer Meinung nach über diese Unternehmen wissen sollten? E-Mail an den Verfasser unter Signal: 347-966-3806. WIRED schützt die Vertraulichkeit seiner Quellen. Wenn Sie jedoch Ihre Identität verbergen möchten, finden Sie hier die Anweisungen zur Verwendung von SecureDrop. Sie können uns auch Unterlagen an die Adresse 520 Third Street, Suite 350, San Francisco, CA 94107 senden.
Die Sicherheitswarnung von Amazon im letzten Monat überraschte Honey und das Unternehmen versuchte zu antworten. Es war gezwungen, einige der Funktionen von Honey vorübergehend zu deaktivieren, wie z. B. Droplist, mit der der Preis bestimmter Artikel nachverfolgt wird, um zu verhindern, dass die Nachricht mehr Personen angezeigt wird. Die Änderungen wurden nicht in einem offiziellen Blogbeitrag oder einer Nachricht an die Benutzer angekündigt.
„Wir sind uns bewusst, dass Droplist und andere Honey-Funktionen für einen bestimmten Zeitraum nicht bei Amazon verfügbar waren. Wir wissen, dass dies Tools sind, die die Leute lieben und die schnell daran gearbeitet haben, die Funktionalität wiederherzustellen. Unsere Erweiterung ist kein Sicherheitsrisiko und kann auch ohne Bedenken verwendet werden “, sagte ein Honey-Sprecher.
Browser-Erweiterungen können unglaublich invasiv sein, und es ist immer noch eine gute Praxis, vorsichtig zu sein, was Sie in Ihrem Browser installieren. Amazon warnte Honey-Benutzer, dass die Erweiterung "alle Ihre Daten auf jeder von Ihnen besuchten Website lesen oder ändern kann", dies ist jedoch eine grundlegende Funktionalität vieler Erweiterungen - weshalb es wichtig ist, nur solche zu installieren, denen Sie vertrauen können. Tatsächlich hat Amazon eine eigene Browser-Erweiterung namens Amazon Assistant. Es verfolgt auch die Preise, genau wie Honey, und ermöglicht es Ihnen, Artikel anderer Händler mit denen von Amazon zu vergleichen. Wenn Nutzer Amazon Assistant aus dem Chrome Store installieren, benachrichtigt Google sie darüber, dass sie "alle Ihre Daten auf den von Ihnen besuchten Websites lesen und ändern können".
Honey sagt, dass es regelmäßig mit Sicherheitsfirmen zusammenarbeitet, um den Schutz zu bewerten. Im vergangenen Sommer haben Forscher des Cybersicherheitsunternehmens Risk Based Security eine Sicherheitslücke in der Erweiterung von Honey dokumentiert, die böswillige Websites ausnutzen könnten, um Benutzerinformationen zu stehlen. Der Fehler betraf jedoch nicht die Datenerfassungspraktiken von Honey und wurde laut Risk Based Security Anfang 2019 auf Firefox und Google Chrome gepatcht. "Wenn sich eine Einzelperson oder ein unabhängiger Forscher wegen einer potenziellen Sicherheitslücke mit uns in Verbindung setzt, setzen wir uns mit dieser Person in Verbindung, um das Problem zu verstehen und zu beheben (sofern es eine gibt)", sagte der Honey-Sprecher.
