Mailbox-Tools: Eine Bedrohung für den Datenschutz und die Sicherheit von Verbraucherdaten.

Veröffentlicht: 2021-08-18

Das zunehmend umstrittene Thema Datenschutz und Sicherheit von Verbraucherdaten stand kürzlich in einem Artikel der New York Times im Rampenlicht, in dem die Geschäftspraktiken von Slice, dem Eigentümer der E-Mail-Abonnementverwaltungsanwendung Unroll.me, und Uber kritisiert wurden. Der Artikel enthüllte, dass Slice Verbraucherdaten von Unroll.me an das beliebte Mitfahrunternehmen verkaufte.

„Uber widmete seinen Teams sogenannter Competitive Intelligence und kaufte Daten von einem Analysedienst namens Slice Intelligence. Mit einem eigenen E-Mail-Digest-Dienst namens Unroll.me sammelte Slice die per E-Mail gesendeten Lyft-Belege von seinen Kunden aus ihren Posteingängen und verkaufte die anonymisierten Daten an Uber.

Jojo Hedaya, CEO von Unroll.me, entschuldigte sich zwar, konnte jedoch einige Kunden nicht zufriedenstellen, und Kommentarbereiche auf verschiedenen Websites wurden heiß, da einige Kunden die Vernichtung ihrer Daten forderten.

Aber es gibt ein Problem.

Unroll.me und ähnliche Tools können sich das Recht vorbehalten, Ihre E-Mail-Daten auf unbestimmte Zeit aufzubewahren, und der Besitz dieser Art von Daten ist es, was Unternehmen wie Unroll.me (Slice) so wertvoll macht.

In einer Antwort auf die Unroll.me-Story auf Y Combinator behauptete beispielsweise ein Mitwirkender: „Ein großer Teil des Kaufs von Unroll.me durch Slice war für den Zugriff auf diese E-Mail-Archive. Konkret wollten sie nach Keyword-Trends und nach Belegen aus Online-Käufen suchen.“

Und was die meisten Verbraucher nicht wissen, ist, dass diese Art von Datensammlung und -verkauf auch bei anderen Mailbox-Tools-Unternehmen stattfindet (z. B. Boxbe von eDataSource und OtherInbox und Organizer von Return Path). Einige dieser Tools haben wir bereits in unserem Blog Die Wahrheit über E-Mail-Panel-Daten behandelt .

Warum geben Verbraucher freiwillig ihre E-Mail-Daten weiter?

Lesen Sie die Nutzungsbedingungen und Datenschutzrichtlinien aller von Ihnen genutzten Onlinedienste?

Laut der aktuellen Studie The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services fanden Forscher heraus, dass 86 % der Testpersonen weniger als eine Minute damit verbracht haben, die Nutzungsbedingungen zu lesen, und erstaunliche 97 % weniger Geld ausgeben als fünf Minuten. Darüber hinaus bemerkten weniger als 2%, dass sie mit der Zustimmung zu den Nutzungsbedingungen tatsächlich „ein erstgeborenes Kind zur Verfügung stellten“, um den Zugang zur Testanwendung zu bezahlen.

Wie die meisten Verbraucher gehen wir davon aus, dass Benutzer von kostenlosen Mailbox-Tools die Richtlinien, denen sie zustimmen, selten lesen. Aber das alte Sprichwort wahr bleibt: Wenn Sie keine Produkt-Newsflash-Sie (und Ihre Daten) zu verwenden , zu zahlen sind das Produkt.

Return Path eDataSource Datenschutz- und Sicherheitsbedrohung für Verbraucher

Benutzer kostenloser Mailbox-Tools: Sie (und Ihre Daten) sind das Produkt.

Die Veteranin der E-Mail-Branche, Laura Atkins, hat kürzlich die Postfach-Tools und die E-Mail-Panel-Datenbranche in Bezug auf Sicherheitsrisiken für Benutzer zur Aufgabe gemacht. Und als Antwort auf Atkins Bedenken gab Dennis Dayman, Chief Privacy Officer von Return Path, diesen Kommentar ab:

„Unser Registrierungsablauf macht deutlich, dass wir die Daten der Nutzer für Marktforschungszwecke verwenden, jedoch in anonymisierter und aggregierter Form. Wir geben diese Aussage in prägnantem, einfachem Englisch direkt zum Zeitpunkt der Registrierung ab – nicht in durchklickbaren Nutzungsbedingungen, die kein Benutzer jemals sehen wird.

Aber so lautet die Anmeldeseite für den Veranstalter von Return Path:

„Indem wir diesen Service anbieten, sammeln und teilen wir bestimmte Informationen über nicht personenbezogene E-Mail-Nachrichten (z. B. kommerzielle E-Mails). Diese Daten helfen uns, Einblicke in das Verbraucherverhalten zu gewinnen, und helfen uns auch, das E-Mail-Ökosystem zu verbessern, indem wir besser verstehen, wie Menschen mit den nicht personenbezogenen E-Mail-Nachrichten interagieren, die sie erhalten.“

Wir stimmen zwar mit Dayman von Return Path überein, dass Benutzern eine „einfache englische“ Erklärung darüber gegeben werden sollte, was ihre Tools mit Kundendaten tun, ohne eine lange Datenschutzrichtlinie lesen zu müssen, aber wir sind der Meinung, dass die Kopie der Veranstalter-Website diesem Bedarf nicht gerecht wird.

Wir haben also das getan, was die meisten Benutzer von Mailbox-Tools wahrscheinlich nie tun: Lesen Sie die ungefähr 4.653 Wörter umfassende Datenschutzrichtlinie für den Rückweg.

Hinweis: Wir sind keine Anwälte. Wenden Sie sich daher bitte an einen, wenn Sie ein Rechtsgutachten zu den in diesem Blog besprochenen Informationen wünschen.

In der Datenschutzerklärung vergraben, haben wir festgestellt, dass das Tool „Werbe-, Transaktions- und Beziehungsnachrichten“ (Informationen zur Nutzung des Dienstes) sammelt – nein, nicht nur kommerzielle E-Mails. Und sind „Beziehungsnachrichten“ persönliche E-Mails? Laut Website konzentriert sich das Tool auf nicht-personenbezogene E-Mails. Leider haben wir nach mehrmaligem Lesen dieses Abschnitts in der Richtlinie keine klare Erklärung des Begriffs gefunden.

An anderer Stelle in der Richtlinie sind Abschnitte in Bezug auf die Sammlung und den Verkauf nicht persönlich identifizierbarer Informationen an Dritte (Informationen zur Nutzung des Dienstes) aufgeführt, dass E-Mails möglicherweise auf unbestimmte Zeit gespeichert werden (Aufbewahrung personenbezogener Daten), dass die App den Standort des Benutzers verfolgen kann, wenn er auf dem Handy verwendet wird Geräte (aggregierte Informationen) und dass Ihre Daten jederzeit an ein anderes Unternehmen verkauft werden können (Change of Control/Asset Transfer). Was passiert mit Ihren Daten, wenn ein anderes Unternehmen Return Path erwirbt? Es ist uns nicht klar.

Sehen Sie, dass die Informationen hier in „einfachem Englisch“ kommuniziert werden:

Die Organizer-E-Mail-App von Return Path

Quelle: Veranstalter von Return Path

Tun wir auch nicht.

Der Verkauf von Lyft-Quittungen ist nur die Spitze des Eisbergs

Der Verkauf von Unroll.me-Daten an Uber hat viele Menschen verärgert, aber er kratzt nicht einmal an der Oberfläche der breiteren Sammlung von Daten, die anderswo verkauft werden.

Zum Beispiel bietet Return Path den Verbrauchern mehrere kostenlose Mailbox-Tools und „sammelt detaillierte Verbraucherbelegdaten aus einer Vielzahl von Quellen“, um zu zeigen, dass „Quittungsdaten auf Artikelebene Ihnen zeigen können, was Verbraucher tatsächlich tun“, und sammelt angeblich Daten zu Zahlungen, Banken, Einzelhändler, E-Commerce, etc.:

Return Path Consumer Insights Datenschutz- und Sicherheitsbedenken

Quelle: Return Path Consumer Insights

Auf der Return Path-Website direkt über diesem Bild und zum Zeitpunkt dieses Blogs stand „Return Path bietet Verbraucherdaten, wie Sie sie noch nie zuvor gesehen haben“. Wenn die obige Grafik eine genaue Darstellung der Daten ist, die Return Path sammelt und verkauft, geht die Sammlung von „Consumer Insight“ weit über Lyft-Quittungen hinaus. Versicherungsangebote, Online-Kontoauszüge, Kaufhistorie, Netflix-Sehgewohnheiten, Wechsel des Telefonanbieters… Ist dies die Art von Informationen, die sich Verbraucher vorgestellt haben, als sie sich für ein kostenloses Mailbox-Tool angemeldet haben?

Ironischerweise scheint es, dass die Daten der Mailbox-Tools, die angeblich die Benutzerproduktivität verbessern und Ihnen helfen, Spam zu vermeiden, tatsächlich gekauft und analysiert werden, um mehr, besseren Spam (oder mehr Spam) basierend auf den Informationen aus den E-Mail-Konten des Benutzers zu informieren.

Denken Sie daran, wenn Sie ein kostenloses Mailbox-Tool verwenden, sind Sie (und Ihre Daten) das Produkt.

Postfach-Tools von Drittanbietern können ein großes Sicherheitsrisiko darstellen

Der Y Combinator Post behauptete auch frühere Probleme mit der Sicherheit bei Unroll.me:

„Ich habe für ein Unternehmen gearbeitet, das Unroll.me beinahe übernommen hätte. Zu der Zeit, das war vor über drei Jahren, hatten sie eine Kopie jeder Ihrer E-Mails, die Sie während ihres Dienstes gesendet oder empfangen haben. Diese E-Mails wurden in einer Reihe von schlecht gesicherten S3-Buckets aufbewahrt.“

Schlecht gesicherte S3-Buckets? Eine Kopie jeder einzelnen E-Mail aufbewahren? Egal ob gesendet oder empfangen? Wenn dies zutrifft, könnte es bedeuten, dass der S3-Speicher von Unroll.me voller Kaufbelege, Passwort-Resets und wer weiß welche Art von persönlichen Nachrichten ist. Sogar gesendete Nachrichten, die völlig unabhängig von der Verwendung des Tools sind, können gespeichert werden.

Und was ist mit den Zugangsdaten? Obwohl einige Anbieter (Gmail, Yahoo, Outlook) OAuth-Authentifizierung anbieten, AOL und Apple (icloud.com) nicht, und diese Mailbox-Anwendungen fragen nach Ihren Anmeldeinformationen, einschließlich Ihres Passworts, um den Dienst zu nutzen. Während alle Unternehmen behaupten, dass sie den Standard-Best Practices für Sicherheit folgen, sind Datenschutzverletzungen bei vielen Softwareunternehmen an der Tagesordnung.

Mehrere Quellen haben darauf hingewiesen, dass einige dieser Tools vollständigen Lese- und Schreibzugriff auf Ihr Konto erfordern. Dies bedeutet, dass die Anwendung oder jeder, der möglicherweise gegen sie verstößt, möglicherweise freie Hand hat, Ihren Posteingang nach Belieben zu verwalten.

So verhindern Sie, dass Mailbox-Tools Ihre E-Mail-Daten sammeln

Wenn Sie ein Benutzer von Unroll.me, Boxbe, Organizer oder anderen Mailbox-Tools sind und deren Berechtigung zum Sammeln, Speichern und Verkaufen Ihrer Daten widerrufen möchten, finden Sie hier Anweisungen zum Sperren des Zugriffs:

  • Gmail: Besuchen Sie die Sicherheitsseite und gehen Sie im linken Menü unter "Anmeldung und Sicherheit" zu "Verbundene Apps und Websites". Klicken Sie auf den Dienst, den Sie entfernen möchten, und es wird die blaue Schaltfläche "Entfernen" angezeigt. Antworten Sie mit "Ja", wenn Sie gefragt werden: "Möchten Sie den Zugriff wirklich entfernen?"
  • Outlook: Verwenden von Add-Ins in Outlook.com oder Outlook im Web
  • Yahoo!: Berechtigung für eine Drittanbieter-App entfernen

Für Benutzer, die ihre E-Mail-Anmeldedaten mit einem Postfach-Tool geteilt haben, sollten Sie sofort das Passwort für Ihr E-Mail-Konto ändern.

Wir empfehlen den Benutzern auch, sich an den Besitzer des Tools zu wenden und um Klärung zu bitten, ob und wie Ihre persönlichen Daten (z. B. Transaktionsnachrichten, persönliche Nachrichten, Anmeldeinformationen) gespeichert werden, zusammen mit einem Link zum Abschnitt ihrer Datenschutzrichtlinie, der es ihnen erlaubt tun Sie dies.