Chrome-Add-on: Password Checkup übermittelt Domainname

Google hat ein Add-on (Password Checkup) veröffentlicht, mit dem sich beim Login zu einem Account prüfen lässt, ob die Zugangsdaten kompromittiert sind. Die Nutzung von Chrome und einem Google-Konto reicht eigentlich schon aus, um aus Datenschutzperspektive zu sagen: Nein danke, ich verzichte.

Ich habe mal geprüft was das Addon übermittelt:

:method: POST
:authority: us-central1-password-api-prod.cloudfunctions.net
:scheme: https
:path: /getHashes
content-length: 51
origin: null
user-agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.67 Safari/537.36
content-type: application/json
accept: */*
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9,und;q=0.8

["lYg=","A4N4ScOKqADgJF0WIRNE2k4PZoszOC15hTocYFg="]

Benutzername und Passwort werden gehasht und zusätzlich verschlüsselt an Google übermittelt. Anschließend wird unter anderem mittels Blinding die Datenbank durchsucht, um Rückschlüsse auf die Account-Daten (Username, Passwort) zu vermeiden.

Soweit okay, aber weshalb wird im Anschluss dann auch noch die Domain übermittelt, bei der sich ein Nutzer einloggen möchte?

:method: POST
:authority: us-central1-password-api-prod.cloudfunctions.net
:scheme: https
:path: /logEvents
content-length: 94
origin: null
user-agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.67 Safari/537.36
content-type: application/json
accept: */*
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9,und;q=0.8

[[[null,"login.web.de",true,[31848.799999999814,637.9999999990687,36732.100000001024]]],[],[]]

Was sagt Google dazu?

Password Checkup was built with privacy in mind. It never reports any identifying information about your accounts, passwords, or device. We do report anonymous information about the number of lookups that surface an unsafe credential, whether an alert leads to a password change, and the domain involved for improving site coverage.

Google gibt in der Beschreibung immerhin selbst an, die Domain zu übermitteln – sie können es einfach nicht lassen. Obwohl schon genug Google-Service-Spione im Netz verankert sind muss Google noch einen draufsetzen und auch über diesen Dienst die Seite erfassen, bei der sich ein Nutzer einloggen möchte.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡