Die Suchmaschine Duckduckgo lässt Tracking der Nutzer:innen unter bestimmten Umständen zu. Das hat der Sicherheitsforscher Zach Edwards herausgefunden. Konkret geht es um Tracker von Microsoft-Angeboten wie dem Karrierenetzwerk Linkedin und der Suchmaschine Bing.
Duckduckgo trackt Nutzer:innen sehr wohl – mit Einschränkungen
„Manchmal findest du in einem Audit etwas so Verstörendes, dass du es immer wieder gegenchecken musst, weil du denkst, dass irgendwas an deinem Test falsch sein muss“, schreibt Edwards auf Twitter über seinen Fund. Er erklärt dann, wie er herausgefunden hat, dass Duckduckgo wohl eine Art Whitelist für bestimmte Tracker von Microsoft führt.
Diese Entdeckung ist nicht zuletzt deshalb so brisant, weil sie in direktem Gegensatz zu dem zu stehen scheint, womit Duckduckgo auf der eigenen Website plakativ wirbt: „Wir speichern deine persönlichen Daten nicht. Niemals.“, steht dort zu lesen. Von Ausnahmen ist nicht die Rede.
Duckduckgo: Große Versprechungen, die nicht ganz stimmen. (Screenshot: Duckduckgo/t3n)
Duckduckgo-CEO bezieht Stellung
Entsprechend große Wellen schlug Edwards’ Twitter-Thread dann auch – bis sich auch Duckduckgo-CEO Gabriel Weinberg zu Wort melden musste. Der bestätigte zunächst, was der Sicherheitsforscher herausgefunden hatte. Dieses Vorgehen sei Teil eines Vertrages zwischen Duckduckgo und Microsoft – deshalb könne der Suchmaschinenanbieter auch nicht einfach damit aufhören, die Daten weiterzugeben. Allerdings, so Weinberg weiter, arbeite man daran, die entsprechende Klausel aus dem Vertrag zu entfernen. Ob und wann das so weit sein würde, ließ er jedoch offen.
Konkret handelt es sich laut Edwards um Tracker für Linkedin und Microsofts Suchmaschine Bing, von der Duckduckgo Suchergebnisse bezieht. In seiner Antwort verweist CEO Weinberg zudem auf die FAQ: „Microsoft Advertising stellt keine Verbindung zwischen den Ads, die du klickst, und einem Nutzendenprofil her.“
Es bleiben offene Fragen
In dem Schlagabtausch zwischen Edwards und Weinberg wirft der Sicherheitsforscher dann jedoch noch eine Frage auf, die allem Anschein nach offen bleibt: Er habe ursprünglich ein Sicherheitsaudit von workplace.com durchgeführt, das zum Facebook-Konzern Meta gehört. Dort habe er keinen Linkedin-Embed gefunden, aber Duckduckgo habe entsprechende Tracker trotzdem zugelassen – auf einer Drittseite, die weder zu DDG noch Microsoft gehört. „Dein Duckduckgo-Browser kriegt Cross-Site-Browser-Einschränkungen nicht hin, die nur auf zu Microsoft gehörende Seiten beschränkt sein sollen“, schließt Edwards. Duckduckgo-CEO Weinberg hat darauf nicht mehr reagiert – jedenfalls nicht öffentlich.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team