Die Suchmaschine Duckduckgo lässt Tracking der Nutzer:innen unter bestimmten Umständen zu. Das hat der Sicherheitsforscher Zach Edwards herausgefunden. Konkret geht es um Tracker von Microsoft-Angeboten wie dem Karrierenetzwerk Linkedin und der Suchmaschine Bing.
Duckduckgo trackt Nutzer:innen sehr wohl – mit Einschränkungen
„Manchmal findest du in einem Audit etwas so Verstörendes, dass du es immer wieder gegenchecken musst, weil du denkst, dass irgendwas an deinem Test falsch sein muss“, schreibt Edwards auf Twitter über seinen Fund. Er erklärt dann, wie er herausgefunden hat, dass Duckduckgo wohl eine Art Whitelist für bestimmte Tracker von Microsoft führt.
Diese Entdeckung ist nicht zuletzt deshalb so brisant, weil sie in direktem Gegensatz zu dem zu stehen scheint, womit Duckduckgo auf der eigenen Website plakativ wirbt: „Wir speichern deine persönlichen Daten nicht. Niemals.“, steht dort zu lesen. Von Ausnahmen ist nicht die Rede.
Duckduckgo: Große Versprechungen, die nicht ganz stimmen. (Screenshot: Duckduckgo/t3n)
Duckduckgo-CEO bezieht Stellung
Entsprechend große Wellen schlug Edwards’ Twitter-Thread dann auch – bis sich auch Duckduckgo-CEO Gabriel Weinberg zu Wort melden musste. Der bestätigte zunächst, was der Sicherheitsforscher herausgefunden hatte. Dieses Vorgehen sei Teil eines Vertrages zwischen Duckduckgo und Microsoft – deshalb könne der Suchmaschinenanbieter auch nicht einfach damit aufhören, die Daten weiterzugeben. Allerdings, so Weinberg weiter, arbeite man daran, die entsprechende Klausel aus dem Vertrag zu entfernen. Ob und wann das so weit sein würde, ließ er jedoch offen.
Konkret handelt es sich laut Edwards um Tracker für Linkedin und Microsofts Suchmaschine Bing, von der Duckduckgo Suchergebnisse bezieht. In seiner Antwort verweist CEO Weinberg zudem auf die FAQ: „Microsoft Advertising stellt keine Verbindung zwischen den Ads, die du klickst, und einem Nutzendenprofil her.“
Es bleiben offene Fragen
In dem Schlagabtausch zwischen Edwards und Weinberg wirft der Sicherheitsforscher dann jedoch noch eine Frage auf, die allem Anschein nach offen bleibt: Er habe ursprünglich ein Sicherheitsaudit von workplace.com durchgeführt, das zum Facebook-Konzern Meta gehört. Dort habe er keinen Linkedin-Embed gefunden, aber Duckduckgo habe entsprechende Tracker trotzdem zugelassen – auf einer Drittseite, die weder zu DDG noch Microsoft gehört. „Dein Duckduckgo-Browser kriegt Cross-Site-Browser-Einschränkungen nicht hin, die nur auf zu Microsoft gehörende Seiten beschränkt sein sollen“, schließt Edwards. Duckduckgo-CEO Weinberg hat darauf nicht mehr reagiert – jedenfalls nicht öffentlich.
